Einführung in Gruppenrichtlinien (Teil I)

Ein Kapitel "Einführung in Gruppenrichtlinien" im vorliegenden Buch birgt die Gefahr, dass ein fortgeschrittener Administrator sich langweilen wird, weil Begriffsdefinitionen und die Aufzählung der Möglichkeiten, die Gruppenrichtlinien bieten, ihm keine neuen Erkenntnisse vermitteln, ihn schlichtweg langweilen. Ein Neueinsteiger wird andererseits durch eine viele Seiten umfassende Einführung in die Theorie überfordert. Erst der praktische Umgang mit Gruppenrichtlinien wird ihm die Augen öffnen, wozu Gruppenrichtlinien gut sind und warum sie dazu geeignet sind, die Administration eines Netwerkes unter Windows Server immens zu vereinfachen.

Wie man sich dem Thema "Gruppenrichtlinien" nähert

Überfliegen Sie dieses Kapitel, um möglichst schnell in die praktischen Übungen mit Gruppenrichtlinien einzusteigen, die die Folgekapitel beinhalten. Besonders der Einsteiger sollte gar nicht erst versuchen, jede der Ausführungen dieses Einleitungskapitels bis in die Tiefe zu durchschauen. Lesen Sie dieses Einführungskapitel später ein zweites Mal intensiver, sobald Sie durch die praktischen Übungen gelernt haben, Gruppenrichtlinien anzuwenden. Die graue Theorie dieses Einführungskapitels ist mit praktischem Hintergrundwissen dann viel leichter zu verstehen. Sobald Sie durch die praktischen Übungen ein Grundverständnis für die Anwendung von Gruppenrichtlinien erarbeitet haben, ist dann aber dieses Einführungskapitel wichtig, um das Detailwissen über Gruppenrichtlinien in einen gedanklichen Gesamtzusammenhang einordnen zu können und die zum Thema gehörenden Begriffe sauber gegeneinander abgrenzen zu können.

Tipp: Die Gruppenrichtlinieneinstellungen einer Small Business Server 2003-Installation analysieren und übernehmen

Bei Microsoft können Sie online eine kostenlose 180 Tage-Evaluierungsversion von Windows Small Business Server 2003 bestellen. Die Installation der Standard-Edition besteht aus dem Einlegen von vier CDs und läuft automatisch fast ohne Benutzereingriffe ab. Das erstellte Active Directory und Dienste wie DHCP oder DNS sind anschließend weitgehend musterhaft vorkonfiguriert. Es werden zusätzliche Sicherheits- und Verteilergruppen, Skripte und Gruppenrichtlinien angelegt.

Um etwas über die Art zu lernen, wie Microsoft-Experten Gruppenrichtlinien musterhaft strukturieren und einstellen, sollten Sie auf einem installierten SBS 2003 das Snap-In Gruppenrichtlinienverwaltung starten und von allen installierten Gruppenrichtlinienobjekten einen Bericht erstellen, indem Sie die einzelnen GPOs mit der rechten Maustaste anklicken und Bericht erstellen wählen.

Auf der Buch-DVD finden Sie diese Berichte. Analysieren Sie anschließend, welche Berechtigungen vergeben wurden und welche Richtlinien wie voreingestellt wurden. Es erscheint sinnvoll, darüber nachzudenken, welche dieser Einstellungen auch in einer Nicht-SBS 2003-Umgebung übernommen werden sollten.

Was sind Gruppenrichtlinien?

Gruppenrichtlinien sind Sammlungen von Benutzer- und Computerkonfigurationseinstellungen, die mit Computern, Standorten, Domänen oder Organisationseinheiten (OUs) verknüpft werden, um das Verhalten des Benutzerdesktops zu steuern und darüber hinaus Dinge wie Sicherheitseinstellungen, Anmelde- und Abmeldeskripte, Skripte für den Start und das Herunterfahren eines Computers zu definieren oder z.B. Ordnerumleitungen festzulegen. Mit Gruppenrichtlinien kann das Verhalten des Betriebssystems bestimmt und dessen Optionen eingeschränkt werden. Es gibt aber auch Gruppenrichtlinien, mit denen das Verhalten und die Optionen von Anwendungen wie z.B. Microsoft Office von zentraler Stelle aus gesteuert werden kann.

Was sind Gruppenrichtlinienobjekte (Group Policy Objets, GPOs)?

Unter einem Gruppenrichtlinienobjekt versteht Microsoft eine Zusammenstellung von Gruppenrichtlinieneinstellungen. Neue Gruppenrichtlinienobjekte erstellen Sie mit Hilfe der Gruppenrichtlinienverwaltungskonsolen. GPOs werden auf Domänenebene (nicht auf Ebene der Active Directory Gesamtstruktur) in Gruppenrichtliniencontainern (GPCs) gespeichert. GPOs betreffen Computer (bzw. Computergruppen) oder Benutzer (bzw. Benutzergruppen) an Standorten, in einzelnen Domänen oder in Organisationseinheiten. Das bedeutet z.B., dass Sie eine Organisationseinheit (OU) mit der Bezeichnung Laptops erstellen können, für diese OU ein neues Gruppenrichtlinienobjekt erstellen und in diesem GPO all diejenigen Richtlinien spezifisch definieren, die nur Laptops betreffen, nicht aber andere Computer, welche ständig eine Verbindung zum Netzwerk haben. Die in diesem GPO betroffenen Richtlinieneinstellungen wirken sich auf alle Computerobjekte aus, die in die Organistationseinheit Laptops verschoben werden.

Darüber hinaus können GPOs auch für alleinstehende Computer erstellt werden, das heißt für Computer, die nicht oder nicht ständig an eine Active Directory-Domäne angeschlossen sind, wie z.B. Laptops oder Tablet PCs. Hier spricht man von lokalen Gruppenrichtlinienobjekten.

Auf einen Standort, eine Domäne oder eine Organisationseinheit können mehrere GPOs angewendet werden. Mehrere GPOs können darüber hinaus z.B. in einem Sammelcontainer des Active Directory, z.B. mit dem Namen organisationsübergreifende Gruppenrichtlinienobjekte erstellt werden. Danach kann jede dieser GPOs über die Funktion Gruppenrichtlinienverknüpfung mehreren anderen Containern (z.B. Organisationseinheiten) zugewiesen werden.

Was sind Gruppenrichtlinienverknüpfung?

Ein Beispiel soll die Methode der Gruppenrichtlinienverknüpfung demonstrieren: Sie erstellen für die einzelnen Abteilungen des Unternehmens Organisationseinheiten mit den Abteilungsnamen Verwaltung, Vertrieb, Einkauf, Produktion, Entwicklung. In diesen Abteilungs-OUs legen Sie die Benutzerobjekte an.

Bestimmte Gruppenrichtlinien sind abteilungsspezifisch, andere Gruppenrichtlinien sollen für alle Mitarbeiter der Organisation gelten. Die Richtlinien, die für alle Mitarbeiter gelten sollen, definieren Sie nur einmal in einem GPO, die für diesen Zweck in der Organisationseinheit organisationsübergreifende Gruppenrichtlinienobjekte erzeugt wird. Anschließend verknüpfen Sie dieses GPO mit allen Abteilungs-OUs. Müssen Sie später eine organisationsübergreifende Richtlinie hinzufügen oder anders definieren, so nehmen Sie diese Änderung komfortabel an einer zentralen Stelle vor, und nicht für jede Abteilung separat. Die Anzahl der benötigten GPOs bleibt so überschaubar, und die Anzahl möglicher Fehlerquellen ist minimiert.

Was sind Gruppenrichtliniencontainer (GPCs)?

Der Gruppenrichtliniencontainer (GPC) ist ein Active Directory-Objekt, das GPO-Eigenschaften speichert und Untercontainer für Gruppenrichtlinieninformationen zu Computern und Benutzern enthält. Der GPC enthält Versionsinformationen, um sicherzustellen, dass die Informationen im GPC mit den Gruppenrichtlinienvorlagen (GPT) synchronisiert sind. Darüber hinaus enthält der GPC die Statusinformation, ob das zugrunde liegende GPO derzeit aktiviert oder deaktiviert ist. Der Begriff GPC ist verwirrend, und seine Abgrenzung zum Begriff GPT schwer in den Griff zu bekommen. Deshalb taucht der Begriff GPC auch nur selten auf, und Sie müssen seine Bedeutung nicht ständig parat haben.

Wichtig ist aber der Hinweis, dass ein Gruppenrichtlinienobjekt temporär vollständig deaktiviert werden kann. Haben Sie z.B. die Vermutung, dass ein nicht erklärbares Verhalten im Zusammenspiel mehrerer GPOs durch die Einstellungen eines bestimmten GPO verursacht wird, so können Sie dieses GPO temporär deaktivieren, um die Vermutung zu verifizieren. Soll ein neues GPO mit verschiedenen Richtlinien erst zu einem späteren Zeitpunkt wirksam werden, so erstellen Sie dieses GPO mit allen Einstellungen im deaktivierten Status und aktivieren das neue GPO erst bei Bedarf.

Spätestens jetzt wird einem Neuling im Thema Gruppenrichtlinien schwindelig, und das Weiterlesen und Begreifen von Begriffen und Abkürzungen wird zur Geduldsprobe. Ich erinnere mich heute noch gut an meine eigene Verwirrung und den aufkommenden Frust beim erstmaligen Studium dieser komplexen Materie. Dessen bewusst habe ich bereits am Anfang dieses Kapitels vor der Mühsal dieses theoretischen Stoffes gewarnt. Deshalb erneut der tröstenden Hinweis: Sie müssen diese theoretischen Grundlagen nicht auf Anhieb verstehen. Sobald wir in den Folgekapiteln mit den Gruppenrichtlinien von Windows XP und Office 2003 herumgespielt haben und spätestens dann, wenn wir unserer eigenen Vorlagedateien für fehlende Gruppenrichtlinien zusammenbasteln, wird die graue Theorie mit praxisnahem Leben erfüllt, und Administratorfreude wird aufkommen. Bis dahin lautet die Devise Kopf einziehen und durchhalten. Ihre Disziplin wird später belohnt, mein Wort drauf.

Was sind Gruppenrichtlinienvorlagen (Group Policy Templates GPT)?

Die Gruppenrichtlinienvorlage (GPT) ist eine Ordnerstruktur im Verzeichnis %systemroot%\SYSVOL\sysvol\<Domänenname>\Policies von Domänencontrollern. Diese Ordnerstruktur wird in dem Moment erzeugt, in dem ein neues Gruppenrichtlinienobjekt (GPO) vom Administrator mittels einer Gruppenrichtlinienverwaltungskonsole angelegt wird. Sie speichert in Form mehrerer Konfigurationsdateien die Gruppenrichtlinien, aber auch z.B. Anmelde- und Abmeldeskripte und Skripte für den Start oder das Herunterfahren eines Computers, wenn diese Skripte über eine Gruppenrichtlinie definiert werden.

Diese Ordnerstruktur sehen Sie im Windows Explorer nur dann vollständig, wenn Sie die Option Geschützte Systemdateien ausblenden deaktiviert und die Optionen Inhalte von Systemordner anzeigen sowie Alle Dateien und Ordner anzeigen aktiviert haben. Als Administrator sollten Sie generell diese Voreinstellungen des Windows Explorers für alle Ordner übernehmen, und zwar sowohl bei der Arbeit am Server als auch bei der Arbeit an einem Client. In den weiteren Erläuterungen dieses Buches wird davon ausgegangen, dass Sie diese Voreinstellungen im Windows Explorer vorgenommen haben und somit alle Dateien und Ordner zukünftig sehen, also auch diejenigen, die das Attribut Versteckt oder das Attribut System haben. Ebenso muss die Option Erweiterungen bei bekannten Dateitypen ausblenden zumindest bei Administratoren und Mitarbeitern des Helpdesk deaktiviert sein. Diese Mitarbeiter müssen nicht nur um die Bedeutung von Dateinamenserweiterungen wissen, sie müssen die Erweiterungen bei Bedarf auch manipulieren können.

Bei der Erstellung eines Gruppenrichtlinienobjekts wird die entsprechende GPT-Ordnerstruktur auf dem Domänencontroller erzeugt. Gibt es mehrere Domänencontroller, so wird diese neue Ordnerstruktur anschließend auf die anderen Domänencontroller repliziert. Der Ordnername der GPT ist eine 36-stellige Kombination von Ziffern- und Buchstabenkolonnen, getrennt durch Bindestriche, und entspricht der GUID (Global eindeutige Kennung - Globally Unique Identifier) des erstellten GPOs.

Im Wurzelverzeichnis einer GPT-Ordnerstruktur finden Sie die Datei gpt.ini und die Unterordner Adm, Machine und User. Diese Hauptordner nehmen Unterordner auf, deren exakte Struktur von den Richtlinien abhängt, die Sie definieren. Die Datei gpt.ini enthält folgenden Variablen und deren Belegung:

displayName=Neues Gruppenrichtlinienobjekt: Diese Variable übernimmt nicht den Namen des GPOs, sondern hat den Standardnamen Neues Gruppenrichtlinienobjekt.

Version=Versionsnummer: Eine neu erstellte GPOs erhält die Versionsnummer 0. Durch jede Richtlinie, die im GPO geändert wird, erhöht sich dieser Wert. Gibt es mehrere Domänencontroller, so stellt Active Directory durch den Vergleich der Versionsstände fest, auf welchem Domänencontroller die aktuellste Version einer GPO liegt und repliziert sie anschließend auf die übrigen Domänencontroller.

Disabled=0 oder 1, wobei diese Zeile nur in lokalen GPOs vorkommt und definiert, ob die GPO derzeit deaktiviert ist. Für alle anderen GPOs wird der Zustand aktiviert oder deaktiviert im GPC gespeichert, welcher sich im Active-Directory-Speicher befindet.

Dieser Ordner nimmt die Gruppenrichtlinienvorlagedateien auf, die im Gruppenrichtlinieneditor hinzugeladen wurden. Gruppenrichtlinienvorlagedateien befinden sich im Verzeichnis %Systemroot%\inf oder müssen hierhin kopiert werden. Sie haben die Dateinamenserweiterung adm. Ein installiertes Windows 2000 Server oder Windows 2000 Professional hat andere Vorlagedateien als ein Windows XP Professional oder ein Windows Server 2003.

Die Vorlagedateien von Microsoft Office 2003 gehören nicht zum Lieferumfang der Microsoft Office 2003-CD. Sie werden bei der Installation des Office 2003 Resource Kits in das Verzeichnis %systemroot%\inf eines Computers eingespielt und müssen dann manuell in das Verzeichnis %systemroot%\inf des Domänencontrollers kopiert werden. Sie können für bestimmte Zwecke und Anwendungen selbst adm-Vorlagedateien erstellten, in das Verzeichnis %systemroot%\inf übernehmen und in einem GPO anschließend hinzuladen. Details zum Umgang mit adm-Dateien finden Sie in späteren Kapiteln.

Dieser Ordner nimmt die Datei Registry.pol auf. Die Datei Registry.pol enthält nur die Einstellungen derjenigen Richtlinien, die in der Kategorie Computer aktiviert bzw. deaktiviert wurden, jedoch hat sie keinen Verweis auf Richtlinien, die unkonfiguriert bleiben. Wenn ein Computer gestartet wird und die Verbindung zu seiner Domäne aufnimmt, wird die Datei Registry.pol ausgewertet und in den Abschnitt HKEY_LOCAL_MACHINE der Registrierdatenbank des Computers übernommen. Das Format der Datei Registry.pol ist nicht kompatibel zur gleichnamigen Datei, die unter Windows 95, 98 oder NT 4.0 verwendet wurde.

Dieser Ordner nimmt die Veröffentlichungsdateien (AAS-Dateien) auf, die von Windows Installer zur Installation von MSI-Paketen für Computer verwendet werden.

Dieser Ordner enthält alle Dateien, die auf dem Desktop jedes Benutzers liegen sollen, unabhängig davon, welcher Benutzer sich anmeldet.

Skripte und verknüpfte Dateien, die beim Herunterfahren eines Computers ausgeführt werden.

Skripte und verknüpfte Dateien, die beim Start eines Computers ausgeführt werden.

Dieser Ordner nimmt die Datei Registry.pol auf. Die Datei Registry.pol enthält nur die Einstellungen derjenigen Richtlinien, die in der Kategorie Benutzer aktiviert bzw. deaktiviert wurden, jedoch hat sie keinen Verweis auf Richtlinien, die unkonfiguriert bleiben. Wenn sich ein Benutzer anmeldet, wird die Datei Registry.pol ausgewertet und in den Abschnitt HKEY_CURRENT_USER der Registrierdatenbank des Computers übernommen. Das Format der Datei Registry.pol ist nicht kompatibel zur gleichnamigen Datei, die unter Windows 95, 98 oder NT 4.0 verwendet wurde.

Dieser Ordner nimmt die Veröffentlichungsdateien (AAS-Dateien) auf, die von Windows Installer zur Installation von MSI-Paketen für Benutzer verwendet werden.

Die Berechtigungen, die ein Benutzer hat, wenn er einen Computer mittels Remote Installation Service neu installiert.

Mit Gruppenrichtlinien kann auch das Verhalten und die Benutzeroberfläche eines einzelner Computer, der nicht mit einem Netzwerk verbunden ist, definiert werden. Unter Windows XP starten Sie dazu über Start – Einstellungen – Systemsteuerung – Verwaltung den Menüpunkt Lokale Sicherheitsrichtlinie. Schneller geht das, indem Sie über Start – Ausführen den Befehl gpedit.msc absetzen.