Einführung in Gruppenrichtlinien (Seite 2)

Mit dem Snap-In Active Directory-Benutzer und –Computer erstellen Sie Gruppenrichtlinienobjekte (GPOs) für eine Domäne oder eine Organisationseinheit. Sie klicken dazu entweder das Domänenobjekt oder ein Organisations­ein­heitenobjekt mit der rechten Maustaste an, wählen Eigenschaften, öffnen die Registerkarte Gruppenrichtlinien und klicken auf die Schaltfläche Neu.

Dann wählen Sie einen Namen für das neue Gruppenrichtlinienobjekt aus und klicken auf Bearbeiten. Dadurch starten Sie den Gruppenrichtlinieneditor und können nun einzelne Richtlinien definieren.

Mit dem Snap-In Active Directory-Standorte und Dienste erstellen Sie GPOs für einzelne Standorte. Die Vorgehensweise ist ähnlich der Vorgehensweise im Snap-In Active Directory-Benutzer und –Computer. Sie klicken das Standortsymbol mit der rechten Maustaste an, wählen Eigenschaften, öffnen die Registerkarte Gruppenrichtlinien und klicken auf die Schaltfläche Neu, um ein neues Gruppenrichtlinienobjekt für den ausgewählten Standort zu erstellen und ihm einen Namen zuzuweisen. Über die Schaltfläche Bearbeiten legen Sie anschließend die einzelnen Richtlinien des GPOs fest.

Gruppenrichtlinienobjekte für Standorte machen nur dann Sinn, wenn sich eine Domäne über mehrere Standorte (Sites) ausbreitet und wenn es Gruppenrichtlinien gibt, deren Einstellung sich von Standort zu Standort unterscheiden soll. Ein typisches Beispiel dafür ist die Richtlinie Ordnerumleitung, mit der Sie unter anderem den Ordner Eigene Dateien für jeden Benutzer auf eine Serverfreigabe umleiten können. Für Mitarbeiter am Standort X wird es sinnvoll sein, den Ordner Eigene Dateien auf einen Server am Standort X umzuleiten. Die Ordner Eigene Dateien der Mitarbeiter am Standort Y müssen hingegen auf einen Server am Standort Y umgeleitet werden.

Über Start – Verwaltung können Sie außerdem das Snap-In Gruppenrichtlinien starten, um alle Gruppenrichtlinien in allen erstellten Gruppenrichtlinienobjekten mit dem Gruppenrichtlinieneditor zu definieren.

Wie Sie den obigen Abbildungen entnehmen, erscheint auf meinem Testserver beim Anklicken der Registerkarte Gruppenrichtlinien der Hinweis Sie haben das Snap-In Gruppenrichtlinienverwaltung installiert. Daher wird diese Registerkarte nicht mehr verwendet. Klicken Sie auf Öffnen, um die Gruppenrichtlinienverwaltung zu öffnen. Die erwähnten Schaltflächen Neu und Bearbeiten zum Erstellen einer neuen Gruppenrichtlinie und zum Bearbeiten vorhandener Gruppenrichtlinien erscheinen nicht mehr, weil zusätzlich das kostenlos auf www.microsoft.com erhältliche Gruppenrichtlinienverwaltungswerkzeug GPMC.MSI installiert wurde.

GPMC.MSI steht für ein neues Snap-In Group Policy Management Console. In der deutschen Version heißt es Gruppenrichtlinienverwaltungskonsole. Dieses Verwaltungswerkzeug wurde von Microsoft erst nach der Freigabe von Microsoft Windows Server 2003 entwickelt und steht zum kostenlosen Download in lokalisierten Sprachversionen bereit. Es kann nicht nur unter Windows Server 2003, sondern auch für Netzwerke unter Windows 2000 Active Directory eingesetzt werden, muss dann aber auf einem Windows XP-Client installiert werden.

Mit dem neuen Gruppenrichtlinienverwaltungsprogramm (Group Policy Management) GPMC.MSI ist es nun möglich, alle Verwaltungsarbeiten bezüglich Gruppenrichtlinien, die bisher über mehrere Snap-Ins erledigt werden mussten, über ein zentrales Werkzeug abzuwickeln. Es beinhaltet darüber hinaus viele Zusatzfunktionen wie den Gruppenrichtlinienergebnissatz, das Sichern, Zurücksichern und Importieren von ganzen Gruppenrichtlinienobjekten inklusive aller darin definierten Richtlinien und die Verwaltung von WMI-Filtern. Die Installation von zusätzlichen Werkzeugen (Tools), um das resultierende Ergebnis mehrerer Gruppenrichtlinien auf ein Benutzerobjekt oder ein Computerobjekt zu analysieren und Fehler im Zusammenspiel vieler Gruppenrichtlinien zu finden, entfällt damit. Der Preis, den besonders Neulinge bezahlen, ist ein zumindest auf den ersten Blick sehr komplex wirkendes Werkzeug mit einer Fülle von Ansichten, Befehlen und Optionen, deren Bedeutung und Auswirkungen erschlagend wirken kann.

Für Neulinge deshalb folgender Tipp: Arbeiten Sie zuerst ohne das neue Werkzeug GPMC.MSI, um einen einfacheren Einstieg in den Gebrauch von Gruppenrichtlinien zu finden. Installieren Sie das neue GPMC-Werkzeug in einer separaten Testumgebung. z.B. in einer zusätzlichen virtuellen Umgebung, die Sie mit einer Software wie Microsoft Virtual PC oder VMware auf Ihrem Rechner installieren. Sie sollten die eingeschränkten Möglichkeiten ohne installierte GPMC.MSI allein aus zwei Gründen kennen:

1. Vielleicht müssen Sie später Support an einem fremden Netzwerk leisten, auf dessen Server die neue GPMC-Konsole nicht installiert ist, weil es sich z.B. um einen Windows 2000 Server handelt.
2. In Knowledge Base-Artikeln, Microsoft-Whitepapers und Artikeln von Dritten wird in der Regel nicht davon ausgegangen, dass das neue Werkzeug GPMC.MSI installiert ist. Um diese Artikel zu verstehen, müssen Sie mit Gruppenrichtlinien auf die herkömmliche Weise umgehen können, also ohne installierte GPMC.

Anwenden von Gruppenrichtlinien

Bevor eine Gruppenrichtlinie definiert werden kann, muss zuerst ein Gruppenrichtlinienobjekt (GPO) erstellt werden. Dabei fällt die Entscheidung, ob das GPO für eine gesamte Domäne, für einen Standort (Site) oder für eine Organisationseinheit (OU) erstellt wird. Die Erstellung des GPO erfolgt in einer Gruppenrichtlinienverwaltungskonsole. Im Gruppenrichtlinienobjekt-Editor gibt es bei jedem GPO die beiden Kategorien Computerkonfiguration und Benutzerkonfiguration. Innerhalb der Kategorie Computerkonfiguration definieren Sie Richtlinien, die unabhängig davon wirken, welcher Benutzer später angemeldet ist. Innerhalb der Kategorie Benutzerkonfiguration definieren Sie hingegen Richtlinien, die immer für bestimmte Benutzer gelten sollen, egal an welchem Computer sich diese Benutzer anmelden.

Enthält eine GPO ausschließlich konfigurierte Richtlinien für Benutzer, so sollte die Computerkonfiguration deaktiviert werden. Die Abarbeitung der GPO erfolgt dadurch schneller, weil die Computerkonfiguration nicht mehr auf vorgenommene Einstellungen abgesucht wird. Umgekehrt sollte in einer GPO, die ausschließlich konfigurierte Richtlinien für Computer enthält, die Benutzerkonfiguration deaktiviert werden.

Wenn das neue Werkzeug GPMC.MSI nicht installiert ist, so starten Sie das Snap-In Active Directory-Benutzer und –Computer, klicken über die rechte Maustaste die Eigenschaften des Containers an, der das GPO enthält, wählen die Registerkarte Gruppenrichtlinien. Dort werden alle GPOs aufgelistet, die für den Container bisher erstellt wurden. Sie wählen das betreffende GPO aus und öffnen die Eigenschaften des GPOs.

In den Eigenschaften des GPOs finden Sie die Option Konfigurationseinstellungen des Computers deaktivieren und die Option Benutzerdefinierte Konfigurationseinstellungen deaktivieren.

Haben Sie bereits das neue Werkzeug GPMC.MSI installiert, so finden Sie die Optionen zum Deaktivieren in der Registerkarte Details in der Kategorie Gruppenrichtlinienobjekte.

In der Registerkarte Sicherheitseinstellungen (bei installierter GPMC.MSI wählen Sie die Registerkarte Delegierung und klicken dann auf die Schaltfläche Erweitert, um die Berechtigungen einzusehen und zu ändern) geben Sie an, welche Computerkonten oder Benutzerkonten berechtigt sind, das GPO zu verändern, zu lesen und zu übernehmen.

Wichtiger Hinweis: Ein Gruppenrichtlinienadministrator soll eine GPO zwar einrichten und die Richtlinien einstellen können und benötigt dazu die Rechte Lesen und Ändern. Er soll jedoch von der GPO in der Regel nicht betroffen sein, da über Richtlinien die Rechte der betroffenen Benutzer oft stark eingeschränkt werden. Indem Sie das Sicherheitsrecht Gruppenrichtlinie übernehmen für Administratoren deaktivieren, verhindern Sie, dass die Arbeitsumgebung des Administrators selbst durch die GPO betroffen ist.

Für die Sicherheitsgruppen Domänen-Admins und Organisations-Admins sind die Berechtigungen bei einem neu erstellten GPO bereits passend voreingestellt: Mitglieder dieser Sicherheitsgruppen dürfen die Richtlinien dieser GPO verändern, sind jedoch selbst nicht davon betroffen, die Berechtigung Gruppenrichtlinie übernehmen ist standardmäßig abgewählt.

Reihenfolge der Richtlinienvererbung

Wenn mehrere Container ineinander verschachtelt sind, so wirkt eine Gruppenrichtlinie eines Containers nicht nur auf die Computerobjekte oder Benutzerobjekte dieses Containers, sondern über die Vererbung auch auf Objekte, die in tiefer gelegenen Untercontainern liegen. Haben Sie z.B. eine Organisationseinheit Standort Berlin mit den Unterorganisationseinheiten Vertrieb Berlin, Produktion Berlin und Verwaltung Berlin erstellt, und haben Sie für die Organisationseinheit Standort Berlin Gruppenrichtlinien definiert, so wirken diese Richtlinien auf alle Objekte in allen tiefer gelegenen OUs.

Wenn Sie für die Sub-OU Verwaltung Berlin ein neues GPO erstellen und dort eine Gruppenrichtlinie anders einstellen als in der übergeordneten Gruppenrichtlinie, so gewinnt die Einstellung in der tiefer gelegenen Gruppenrichtlinie. Richtlinien in beiden OUs, die nicht im Widerspruch zueinander stehen, werden kumulativ übernommen, addieren sich also im mathematischen Sinne zu einer Vereinigungsmenge.

Deaktivierung der Richtlinienvererbung

Mit Hilfe des Kontrollkästchens Richtlinienvererbung deaktivieren können Sie jedoch verhindern, das für eine tiefer gelegenen OU außer den Richtlinien, die für diese OU eingestellt wurden, auch noch die Richtlinien einer übergeordneten OU wirken sollen. Sie finden diese Option in der Registerkarte Allgemein. Bei Standortrichtlinien kann die Vererbung nicht deaktiviert werden, weil Standortrichtlinien sich an oberster Stelle der Richtlinien-Hierarchie befinden. Zuerst wird also überprüft, ob es eine Standortrichtlinie gibt. Wenn ja, so wird diese übernommen, es sei denn, es gibt eine Domänenrichtlinie, die anders lautet, oder eine Organisationseinheit-Richtlinie, die wiederum anders lautet.

Die Option »Kein Vorrang« überschreibt die Deaktivierung der Vererbung

Neben der Option Richtlinienvererbung deaktivieren gibt es die Option Kein Vorrang, die genau das Gegenteil bewirkt. Wenn Sie für die OU Standort Berlin eine Gruppenrichtlinie aktiviert haben und dort die Option Kein Vorrang aktivieren, so greift die Gruppenrichtlinie immer, auch dann, wenn in einer tiefer gelegenen OU wie z.B. Vertrieb Berlin dieselbe Gruppenrichtlinie genau umgekehrt definiert wurde, in unserem Beispiel auf deaktiviert gesetzt ist. Wurde die Option Kein Vorrang im übergeordneten Container aktiviert, so werden die Richtlinieneinstellungen dieses Containers auch dann auf Objekte in tiefer gelegenen Containern angewendet, wenn in den tiefer gelegenen Containern die Option Richtlinienvererbung deaktivieren scharf geschaltet wurde.

Die Einstellungen »Nicht konfiguriert«, »Aktiviert« und »Deaktiviert«

Wird eine Richtlinie auf Aktiviert gestellt, so wird sie auf alle Objekte des Containers angewendet. Ist eine Richtlinie im Zustand Nicht konfiguriert, bedeutet das jedoch nicht, dass im Endergebnis diese Richtlinie nicht angewendet wird. Gibt es nämlich einen übergeordneten Container, in der genau diese Richtlinie aktiviert ist, so wirkt diese Einstellung aufgrund der Vererbung auch auf die Objekte in untergeordneten Containern. Die Einstellung Nicht konfiguriert bedeutet korrekt, dass die Einstellungen aus der übergeordneten Richtlinie übernommen werden, wenn es übergeordnete Richtlinien gibt. Ist also weiter oben in einer Richtlinie diese Einstellung konfiguriert, und in der aktuellen Richtlinie nicht, wird die Einstellung Nicht konfiguriert mit der oben angewendeten Einstellung überschrieben.

Um dies zu verhindern, gibt es die Einstellung Deaktiviert. Damit wird diese Richtlinie nicht angewendet, und auch eine höherliegende Richtlinieneinstellung kann diese nicht überschreiben. Doch auch hier gibt es eine Ausnahmen: Wurde in den Eigenschaften einer übergeordneten Richtlinie die Einstellung Kein Vorrang aktiviert, so kann diese Richtlinieneinstellung auf untergeordneter Ebene nicht außer Kraft gesetzt werden.

DNS-Server mit SRV Records ist zwingende Voraussetzung

Ein fehlerfrei konfiguriertes DNS ist eine notwendige Voraussetzung für das einwandfreie Funktionieren von Gruppenrichtlinien. Über die SRV Records des DNS-Servers findet der Client seine Zuordnung im Active Directory: Welcher OU (Organisation Unit) ist der Computer und der Benutzer zugeordnet, welche Richtlinien sind dort hinterlegt usw. Durch einen fehlerhaft konfigurierten DNS-Dienst, das Fehlen des DNS Server-Eintrags bei den Clients oder einen falschen DNS-Eintrag kommt es zu extrem langen Anmeldezeiten, die Gruppenrichtlinien werden nicht übernommen, es kommt zu Probleme bei der Namensauflösung, oder die Replikation zwischen den Domänencontrollern wird nicht ausgeführt.

Der Windows Server 2000/2003 mit installiertem DNS-Dienst erfüllt alle nötigen Voraussetzungen für das Funktionieren von Active Directory-Gruppenrichtlinien. Soll in einer Umgebung, in der DNS bisher über Unix bzw. Linux-BIND bereitgestellt wurde, auf BIND weiterhin nicht verzichtet werden, so muss BIND soweit aktualisiert werden, dass der DNS SRV Records unterstützt und ein Dynamischer DNS (D-DNS) ist. In diesem Fall ist es auf jeden Fall ratsam, bei den Windows Clients einen Windows Server 2000/2003 als DNS-Server einzutragen und den Unix-BIND als Forwarder im Windows DNS-Dienst einzutragen. Auf den Windows Clients muss der DNS-Server, der die SRV Records hält, als erster DNS in den TCP/IP Eigenschaften eingetragen sein.

Gruppenrichtlinien wirken auf Benutzerobjekte oder Computerobjekte, nicht auf Sicherheitsgruppen

Das Wort Gruppenrichtlinien ist übrigens etwas irreführend. Gruppenrichtlinien wirken sich immer nur auf die Benutzerobjekte oder Computerobjekte aus, die im zugehörigen Container liegen, nicht auf Sicherheitsgruppen. Wenn Sie z.B. eine Organisationseinheit mit dem Namen Laptops erstellen, für diese OU ein Gruppenrichtlinienobjekt erzeugen und in diesem GPO spezielle Richtlinien für Laptops konfigurieren, so müssen Sie anschließend alle Laptops oder aber alle Laptopbenutzer in diese OU verschieben, damit die Richtlinien wirken. Legen Sie in der OU Laptops hingegen nur eine Sicherheitsgruppe Laptops an, die als Mitglieder die Laptopobjekte enthält, und verbleiben die Laptopobjekte in einer anderen OU, die kein Untercontainer der OU Laptops ist, so wirkt die Richtlinie nicht.

Dennoch kann man Sicherheitsgruppen nutzen, um über Gruppenrichtlinienberechtigungen zu steuern, auf welche Benutzergruppen oder Computergruppen ein Satz von Richtlinien wirken soll. Um das zu demonstrieren, ändern wir das Beispiel mit den Laptops ab: Sie haben eine Organisationseinheit mit der Bezeichnung Clients erstellt. Diese OU nimmt alle Computer bis auf Server auf, das heißt sowohl Arbeitsplatzcomputer als auch Laptops oder Tablet-PCs. Für diese OU erstellen Sie eine GPO, in der nur spezielle Richtlinien für Laptops und Tablet-PC konfiguriert werden. Diese GPO soll nur auf alle Laptops und Tablet-PC der OU Clients wirken, nicht aber auf Clients, die immer online sind. Um das zu erreichen, richten Sie eine Sicherheitsgruppe Laptops und Tablet-PC ein und nehmen alle Laptops und Tablet-PC in diese Sicherheitsgruppe als Mitglieder auf. Die Berechtigungen der GPO verändern Sie anschließend so, dass diese GPO nur von der Sicherheitsgruppe Laptops und Tablet-PC gelesen und übernommen werden kann, nicht aber von den anderen Clients.

In den weiteren Ausführungen zum Thema Gruppenrichtlinien wird demonstriert werden, wie Sie über nur zwei GPOs steuern, was einfache Anwender und so genannte Poweruser dürfen. In der ersten GPO werden dazu Richtlinieneinstellungen für den Standardanwender vorgenommen, die stark restriktiv sind. Die zweite GPO kann nur von der Sicherheitsgruppe Poweruser gelesen und übernommen werden. In die Sicherheitsgruppe Poweruser werden Programmierer, Helpdesk-Mitarbeiter und andere Mitarbeiter als Mitglieder aufgenommen, die mehr Freiheiten auf ihrem Computer benötigen. In dieser zweiten GPO werden nun einige der Richtlinien, die in der ersten GPO die Rechte des Standardanwenders stark einschränkten, wieder außer Kraft gesetzt, indem die Richtlinien den Status deaktiviert erhalten. Mit einem einfachen und leicht zu durchschauenden Modell aus zwei GPOs lässt sich somit steuern, welche Mitarbeiter in ihrer Arbeitsumgebung starre, nicht veränderbare Vorgaben bekommen, und bei welchen Mitarbeiter diese starren Vorgaben wieder gelockert werden, damit sie in der täglichen Arbeit nicht behindert sind.

Konfigurierte Richtlinien werden auch in der Registrierdatenbank gespeichert

Wo und wie wird eigentlich gespeichert, welche Gruppenrichtlinien für den Computer bzw. den angemeldeten Benutzer wie konfiguriert sind? Die Gruppenrichtlinienvorlage (GPT) ist eine Ordnerstruktur im Verzeichnis %systemroot%\SYSVOL\sysvol\<Domänenname>\Policies von Domänencontrollern. Besonders diejenigen Einstellungen, die in einer Gruppenrichtlinie unter Administrative Vorlagen vorgenommen werden, werden jedoch auch in die Registrierdatenbank der Computer- und Benutzerobjekte geschrieben, für die sie gelten sollen. Die konfigurierten Richtlinien sollen auch wirken, wenn der Client offline ist, und müssen unter anderem auch deshalb lokal und nicht nur im Active Directory gespeichert sein.

In der Registrierdatenbank gibt es dazu folgende Zweige:

HKEY_LOCAL_Machine/Software/Policies
HKEY_LOCAL_Machine/Software/Microsoft/Windows/CurrentVersion/Policies
HKEY_CURRENT_USER/Software/Policies
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies

Aktualisierung ohne Verzögerung erzwingen

Ändert man die Einstellung einer Richtlinie, so wird die Auswirkung am betroffenen Client bzw. unter der betroffenen Anwenderkennung erst mit einer Verzögerung wirksam. Änderungen, die den Computer betreffen, wirken oft erst nach dem Neustart des Clients. Änderungen, die einen Benutzer betreffen, wirken spätestens nach einer Neuanmeldung.

Es gibt jedoch Kommandozeilenbefehle, über die alle Gruppenrichtlinien unverzüglich erneut angewendet werden. Unter Windows 2000 nutzt man den Befehl secedit, wobei über die Parameter machine_policy und user_policy explizit angegeben werden kann, ob nur die Richtlinien der Kategorie Computerkonfiguration oder der Kategorie Benutzerkonfiguration neu angewendet werden sollen:

secedit /refreshpolicy user_policy /enforce
secedit /refreshpolicy machine_policy /enforce

Unter Windows XP ersetzt gpupdate das ehemalige Tool secedit:

gpupdate /target:user /force /wait:0
gpupdate /target:computer /force /wait:0

Das Tool gpupdate kann jedoch auch unter Windows 2000 Professional eingesetzt werden. Es muss dazu in das Verzeichnis %systemroot%\System32 eingespielt werden. Schauen Sie sich die Online-Hilfe des Tools gpupdate an, um mehr über die Bedeutung der verschiedenen Parameter zu erfahren. Der Parameter /force sorgt dafür, dass alle Einstellungen erneut angewendet werden, auch wenn der Zähler der Richtlinie noch nicht erhöht wurde.

Außerdem gibt es eine Richtlinie, mit der die standardmäßige Verzögerung, nach der Gruppenrichtlinien erneut angewendet werden, auf einen niedrigeren Wert eingestellt werden kann. Dieses Vorgehen empfiehlt sich während der Testphase.

[ Zurück  |  Weiterlesen ]

[ Zurück zur Artikelübersicht ]

Von Ulrich Schlüter, Autor des Buches "Integrationshandbuch Microsoft-Netzwerk