Einführung in Gruppenrichtlinien (Seite 3)

Sichern, Kopieren und Importieren von Richtlinieneinstellungen

Stellen Sie sich vor, Sie haben in Ihrer Testdomäne eine Gruppenrichtlinie erstellt und würden gerne alle Einstellungen in eine Produktivumgebung übernehmen. Wie ginge das mit dem geringsten Aufwand?

Stellen Sie sich vor, Sie möchten eine weitere Organisationseinheit einrichten und für diese neue OU identische oder fast identische Gruppenrichtlinien nutzen, wie sie bereits für eine andere OU eingerichtet wurden.

Im Herbst 2003 hat Microsoft die Gruppenrichtlinienverwaltungskonsole GPMC zum kostenlosen Download veröffentlicht. Über dieses Snap-In können Sie ein Gruppenrichtlinienobjekt mit allen darin konfigurierten Richtlinien kopieren bzw. importieren. Die Onlinehilfe gibt nähere Auskunft:

Über das Kopieren können Einstellungen von einem Gruppenrichtlinienobjekt direkt auf ein neues Gruppenrichtlinienobjekt übertragen werden. Beim Kopiervorgang wird ein neues Gruppenrichtlinienobjekt erstellt und erhält einen neuen GUID (Globally Unique Identifier). Auf diese Weise können Einstellungen auf ein neues Gruppenrichtlinienobjekt in derselben Domäne, in einer anderen Domäne in derselben Gesamtstruktur oder in einer Domäne in einer anderen Gesamtstruktur übertragen werden. Da beim Kopiervorgang ein in Active Directory vorhandenes Gruppenrichtlinienobjekt als Quelle verwendet wird, muss zwischen der Quell- und der Zieldomäne eine Vertrauensstellung bestehen.

Kopiervorgänge eignen sich für die Übernahme von Gruppenrichtlinien zwischen Produktionsumgebungen oder zwischen einer Testdomäne (bzw. Testgesamtstruktur) und einer Produktivdomäne (bzw. Produktivgesamtstruktur). Voraussetzung ist eine Vertrauensstellung zwischen der Quell- und der Zieldomäne. Detaillierte Anweisungen findet man in der Onlinehilfe von GPMC unter .

Das Kopieren ähnelt einer Sicherung mit anschließendem Import, wobei der Zwischenschritt über das Dateisystem wegfällt und das neue Gruppenrichtlinienobjekt als Teil des Kopiervorgangs erstellt wird. Informationen zum Sichern von Gruppenrichtlinienobjekten finden Sie in der Onlinehilfe von GPMC unter dem Suchbegriff Sichern.

Beim Import ist im Gegensatz zum Kopiervorgang keine Vertrauensstellung zwischen den Domänen erforderlich. Informationen zum Importvorgang finden Sie in der Onlinehilfe unter dem Suchbegriff mportieren.

Die Verfahren zum Sichern, Kopieren oder Importieren von GPOs und hiermit zusammenhängende Aufgaben können auch mit Hilfe der Beispielskripts durchgeführt werden, die zum Lieferumfang der Gruppenrichtlinienverwaltung GPMC gehören.

Ein Systemhaus, das für viele Kunden Projekte mit Windows 2000/2003 Active Directory durchführt, kann die Gruppenrichtlinien einer sauber durchkonfigurierten Testumgebung also komfortabel weiterverwenden, in dem die in der Testumgebung erzeugten Gruppenrichtlinien als Vorlagen gesichert, beim Kunden in das frisch aufgesetzte Active Directory eingespielt und danach lediglich angepasst werden.

Gruppenrichtlinien-Verknüpfung hinzufügen

Wenn Sie jedoch eine identische Gruppenrichtlinie ohne Modifikationen für mehrere Organisationseinheiten verwenden möchten, geht das auch anders, nämlich über eine Verknüpfung. Sie erstellen die Gruppenrichtlinie in einer neutralen Organisationseinheit und konfigurieren sie. Danach erzeugen Sie in anderen Organisationseinheiten Verknüpfungen zu dieser zentralen Gruppenrichtlinie. Diese Methode hat den Vorteil, dass Sie später bei Bedarf nur an einer Stelle Änderungen an einer Gruppenrichtlinie vornehmen können und diese Änderungen sofort für alle Organisationseinheiten wirksam werden, die mit der zentral gepflegten Gruppen­richtlinie verknüpft sind.

Sie öffnen die Eigenschaften der Organisationseinheit und dort die Registerkarte Gruppenrichtlinien. Dieses Mal klicken Sie aber nicht auf die Schaltfläche Neu, sondern auf die Schaltfläche Hinzufügen. Diese Schaltfläche wäre eindeutiger mit Verbinden bezeichnet worden. Wählen Sie die Registerkarte Alle an. Es werden alle Gruppenrichtlinien der Domäne aufgelistet, die bisher angelegt wurden.

Wozu können Sie die Möglichkeit nutzen, Gruppenrichtlinie mit mehreren Organisationseinheiten zu verbinden?

Wenn Sie z.B. mehrere Standorte haben und an allen Standorten Server stehen, so können Sie eine zentrale Organisationseinheit mit dem Namen Gruppenrichtlinien der Organisation einrichten. Dort können Sie z.B. eine Gruppenrichtlinie Domänen-Controller generieren, in der alle für Domänencontroller wichtigen Sicherheitsrichtlinien definiert werden. Für jeden Standort sollten Sie dann eine OU erstellen und innerhalb dieser OUs wiederum Sub-OUs für Domänencontroller, Mitgliedsserver, Clientcomputer, Benutzer, Benutzergruppen und externe Kontakte. In den Sub-OUs Domänencontroller, die es in jeder Standort-OU gibt, erstellen Sie dann eine Gruppenrichtlinie, indem Sie eine Verknüpfung zur zentralen Richtlinie Domänencontroller in der zentralen Organisationseinheit Gruppenrichtlinien der Organisation erstellen.

Auf dieselbe Weise gehen Sie für andere Servertypen wie Mitgliedsserver, Exchange-Server, SQL-Server vor. Auf dem Microsoft Webserver finden Sie den Windows Server Secu abgesichert werden.

Sie können die Möglichkeiten der Verknüpfung von Gruppenrichtlinien natürlich auch für Richtlinien verwenden, die für alle Benutzer der gesamten Organisation gelten sollen. Dazu erstellen Sie eine Gruppenrichtlinie wie z.B. Standardbenutzer-organisationsweit und vielleicht eine weitere Gruppenrichtlinie wie Hauptbenutzer-organisationsweit in der zentralen Organisationseinheit Gruppenrichtlinien der Organisation. Die zweite Gruppenrichtlinie ist dann für Poweruser (SW-Entwickler, Helpdesk-Mitarbeiter usw.), bei denen die Umgebung nicht so stark wie bei Standardbenutzern eingeschränkt wird. Diese zentralen Gruppenrichtlinien verbinden Sie dann mit den Organisationseinheiten namens Benutzer, die sie als Sub-OUs unter den verschiedenen Standort-OUs erstellt haben.

Jedoch sollten Sie in diesen zentralen Gruppenrichtlinien wirklich nur solche Richtlinien definieren, die dann auch für alle Benutzer der gesamten Organisation gelten. Die Richtlinie Ordnerumleitung, in der jeweils ein Server angegeben werden muss, auf dem sich das Basisverzeichnis des Benutzers befindet, eignet sich vielleicht weniger für eine zentrale Gruppenrichtlinie. Denn die Basisverzeichnisse (Userhome-Directories) einer großen Organisation mit mehreren Standorten liegen auf mehreren Dateiservern. Doch auch hier gibt es einen Trick, um die Zuordnung zu mehreren Servern hinzubekommen. Näheres dazu finden Sie im Kapitel Servergespeicherte Benutzerprofile, Basisordner und Ordnerumleitung.

Eine Gruppenrichtlinie oder deren Verknüpfung löschen

Wenn Sie eine Organisationseinheit löschen, ohne vorher die Gruppenrichtlinien zu löschen, die für diese Organisationseinheit erstellt wurden, so bleiben diese Gruppenrichtlinien im Active Directory und im Verzeichnis %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies der Domänencontroller erhalten. Um das zu testen, erzeugen Sie eine neue Test-OU und legen für diese OU eine Testgruppenrichtlinie an. Notieren Sie den eindeutigen Namen der Gruppenrichtlinie, der über die Schaltfläche Eigenschaften angezeigt wird. Löschen Sie jetzt die Test-OU und überprüfen Sie, ob das bei der Erstellung der Gruppenrichtlinie erzeugte Ver­zeichnis unterhalb von %SYSTEMROOT%\SYS­VOL\sys­vol\Company.local\Policies durch das Löschen der OU automatisch gelöscht wurde. Es ist noch vorhanden.

Öffnen Sie jetzt die Eigenschaften einer anderen OU und dort die Registerkarte Gruppenrichtlinien. Klicken Sie dieses Mal nicht auf die Schaltfläche Neu, sondern auf die Schaltfläche Hinzufügen. Wählen Sie die Registerkarte Alle an. Es werden alle Gruppenricht­linien der Domäne aufgelistet, auch die Test-Gruppenrichtlinie, die für die bereits gelöschte Test-OU erzeugt wurde.

Hat man ein Gruppenrichtlinienobjekt mit der Maus angewählt und klickt auf die Schaltfläche Löschen, so erscheint eine Abfrage:

Verknüpfung aus Liste entfernen bewirkt, dass andere Container (Standorte, Domänen, OUs) die Richtlinie nach wie vor verwenden können. Es wird also nur die Verknüpfung auf das aktuelle Objekt gelöscht.

Verknüpfung aus Liste entfernen und das Gruppenrichtlinienobjekt unwiderruflich löschen bedeutet, dass die Gruppenrichtlinie selbst gelöscht wird und nach diesem Vorgang komplett entfernt wird. Es ist nicht möglich, diese Richtlinie zu einem späteren Zeitpunkt auf einen anderen Container anzuwenden.

Bevor Sie jedoch ein Gruppenrichtlinienobjekt unwiderruflich löschen, sollten Sie folgende Einstellung überprüfen: Markieren Sie die gewünschte Richtlinie und klicken auf die Schaltfläche Eigenschaften. In der Registerkarte Links wählen sie im Feld Domäne die Domäne aus, die nach Verknüpfungen durchsucht werden soll. Klicken Sie auf Suchen. Mit diesem Vorgang, werden alle Container gesucht, mit dem diese Richtlinie verknüpft ist. Sie können so sicherstellen, ob diese Richtlinie noch auf einen anderen Container einer anderen Domäne wirkt.

Die beschriebene Vorgehensweise bezog sich auf einen Server ohne zusätzlich installierte Gruppenrichtlinienverwaltungskonsole GPMC. Ist dieses Werkzeug installiert, ist die Vorgehensweise ähnlich. Sie sollten auch das Verfahren ohne installierte GPMC kennen, weil Sie vielleicht morgen schon einen Server administrieren müssen, auf dem die GPMC fehlt.

Wiederherstellen der Standarddomänenrichtlinie mit dem Kommandozeilentool

Für eine neu eingerichtete Domäne werden automatisch die beiden Gruppenrichtlinienobjekte Default Domain Policy und Default Domain Controllers Policy erstellt. Änderungen an den Richtlinieneinstellungen in diesen beiden Standardgruppenrichtlinienobjekten sollten Sie nach Möglichkeit vermeiden oder zumindest exakt dokumentieren. Erstellen Sie besser selbst neue Gruppenrichtlinienobjekte und nehmen Sie dort die gewünschten Einstellungen vor. Wurden trotzdem Änderungen an den Standardrichtlinien vorgenommen und soll der Urzustand wiederhergestellt werden, so gibt es in Windows Server 2003 den Kommandozeilenbefehl dcgpofix. Das zugehörige Tool dcgpofix.exe liegt im Verzeichnis %systemroot%\system32. In der Onlinehilfe werden die Verwendung des Tools, die zugehörigen Parameter und die Einschränkungen erklärt.

Durch die Angabe des Parameters /ignoreschema können Sie es dcgpofix.exe ermöglichen, mit unterschiedlichen Versionen von Active Directory zusammenzuarbeiten. Standardrichtlinienobjekte werden jedoch möglicherweise nicht in ihren ursprünglichen Zustand wiederhergestellt. Um die Kompatibilität sicherzustellen, sollten Sie die Version von dcgpofix.exe verwenden, die mit dem aktuellen Betriebssystem installiert wurde. Das folgende Beispiel zeigt, wie Sie den Befehl dcgpofix verwenden können, um das Standard-Domänenrichtlinienobjekt wiederherzustellen:

dcgpofix /target: domain

Weitere Informationen finden Sie in den Knowledge Base-Artikeln

• HOW TO: Reset User Rights in the Default Domain Group Policy (http://support.microsoft.com/?kbid=226243) und
• HOW TO: Reset User Rights in the Default Domain Controllers Group Policy Object (http://support.microsoft.com/?kbid=267553).

Gruppenrichtlinien contra reg-Dateien

Über viele Gruppenrichtlinien werden Werte in der Registrierdatenbank des Clients oder der Server verändert. Es stellt sich die Frage, ob man dieselben Ziele nicht auch über reg-Dateien erreichen kann, vielleicht sogar mit geringerem Aufwand. Neben dem Befehl Regedit gibt es viele Tools am Markt, mit denen man Einstellungen in Windows XP oder Microsoft Office vornehmen und die zugehörigen Registry-Einträge direkt in eine reg-Datei exportieren kann, z.B. den Registry System Wizard, X-Setup oder RegShot. Diese reg-Datei kann dann über ein Anmeldeskript oder ein Startskript importiert werden.

Obwohl Microsoft seit der Einführung von Active Directory mit Windows 2000 Server das Instrument der Gruppenrichtlinien immer wieder als das zentrale Verwaltungswerkzeug zur Steuerung der Clients herausstellt, gibt es bisher außer Microsoft keine mir bekannten Drittanbieter, die Gruppenrichtlinienvorlagedateien (adm-Dateien) anbieten, damit auch ihre Produkte über den Gruppenrichtlinieneditor von zentraler Stelle aus gesteuert werden können. Weder für SAP, Sage KHK, AutoCAD, CorelDraw noch für führende Antiviren-Produkte gibt es derartige adm-Dateien. Und selbst das kaufmännische Produkt Navision, welches Microsoft inzwischen vertreibt, enthält keine Gruppenrichtlinienvorlagedateien zur zentralen Steuerung der Clients.

Dennoch gibt es inzwischen nicht nur Tools zur Umwandlung von reg-Dateien in adm-Dateien (Registry System Wizard, reg2adm, ptfe – Policy Template File Editor) und Artikel, in denen die Erstellung von eigenen adm-Dateien ausführlich beschrieben wird. Es gibt auch viele andere Gründe, sich mit Gruppenrichtlinien zu beschäftigen, denn mittels Gruppenrichtlinien kann bei weitem mehr erreicht werden als über Manipulationen der Registrierdatenbank:

• Über Gruppenrichtlinien lassen sich auch Werte im Bereich HKEY_LOCAL_MACHINE der Registrierdatenbank manipulieren. Dazu hat der einfache Anwender in der Regel jedoch keine Rechte.
• Über Gruppenrichtlinien können Anwendungen installiert werden.
• Über Gruppenrichtlinien können Start- und Herunterfahrenskripte, aber auch Abmeldeskripte aktiviert werden, was weit mehr an Möglichkeiten bietet, als lediglich ein Anmeldeskript.
• Mittels Gruppenrichtlinien können komplexe Active Directory-Strukturen, die aus mehreren Standorten oder sogar aus mehreren Domänen bestehen, zentral gesteuert werden.
• Mit Gruppenrichtlinien kann das Verhalten einzelner Clientgruppen oder Benutzergruppen einzeln gesteuert werden. Sie können z.B. eine Organisationseinheit erstellen, in der Sie alle Laptops und Tablet-PCs unterbringen, und für diese OU spezielle Gruppenrichtlinie einrichten, um die Besonderheiten von Clients, die regelmäßig offline sind, in den Griff zu bekommen.

Das sind nur einige der Vorzüge, die Gruppenrichtlinien gegenüber der Manipulation der Registrierdatenbank mittels reg-Dateien haben. Der Hauptvorteil von Gruppenrichtlinie ist, dass der Administrator zentral vorgeben kann, wie ein Client aussieht, welche Anwendungen und Features freigegeben oder gesperrt sind und was der Anwender nutzen und verändern darf. Diese Einstellungen können über Gruppenrichtlinien jederzeit verändert werden, ohne dass der Anwender zur Gruppe der lokalen Administratoren oder der Hauptbenutzer gehören muss. Die über Gruppenrichtlinien gesteuerten Einstellungen in der Registrierdatenbank werden mit der Berechtigung der betriebssysteminternen Gruppe SYSTEM durchgesetzt.

Mit zentral verwalteten Gruppenrichtlinien lässt sich der Verwaltungsaufwand eines Netzwerks drastisch senken, ebenso die Anzahl möglicher Fehlerquellen und Sicherheitsbedrohungen. So oder so führt für Sie kein Weg daran vorbei, sich mit Gruppenrichtlinien auseinanderzusetzen. Denn vielleicht morgen schon müssen Sie ein Netzwerk betreuen, in dem von Gruppenrichtlinien intensiv Gebrauch gemacht wird.

Fehlersuche, wenn eine Richtlinie nicht wirkt

Grundsätzlich kann es von Umgebung zu Umgebung sehr viele Ursachen geben, wenn man eine Gruppenrichtlinie aktiviert hat, und auf dem betreffenden Client oder unter der betreffenden Kennung diese Gruppenrichtlinie nicht das gewünschte Resultat zeigt. Wirkt überhaupt keine Gruppenrichtlinie, so liegt das in der Regel an einem fehlerhaft konfigurierten DNS. Überprüfen sie dann die DNS-Konfiguration der DNS-Server und die DNS-Einträge im Client. Überprüfen Sie am Server das Ereignisprotokoll.

Stellen Sie danach sicher, dass der betreffende Client-Computer bzw. die betreffende Benutzerkennung in der richtigen OU liegt, auf die die Richtlinie angewendet wird.

Überprüfen Sie, ob die Gruppenrichtlinien-Berechtigungen richtig eingestellt sind, so dass der Computer bzw. der Benutzer das GPO lesen und übernehmen kann. Wichtig ist dabei, dass Richtlinie nicht auf eine Sicherheitsgruppe angewendet werden können, sondern immer nur auf die Objekte, die in dem Container liegen, auf den die Richtlinie wirkt.

Überprüfen Sie, in welcher Reihenfolge mehrere Richtlinien angewendet werden, ob es geerbte Richtlinien aus übergeordneten Containern gibt. Ein Tool aus dem Windows Server Resource Kit mit dem Namen GPRESULT zeigt auch unter Windows 2000 Professional das resultierende Ergebnis, wenn mehrere Gruppenrichtlinien auf ein Objekt wirken. Im neuen Verwaltungswerkzeug GPMC.MSI ist dieses Werkzeug bereits integriert.

Auf einem Windows XP-Client können Sie den Kommandozeilenbefehl gpresult nutzen, um das Resultat aller wirkenden Gruppenrichtlinien anzuzeigen. Der Befehl gpresult /? Zeigt alle Parameter an, der Befehl gpresult > c:\gpresult.txt leitet das Ergebnis in eine leichter auswertbare Textdatei um. Mit dem Parametern /u (für User) und /s (für System) kann man sogar herausfinden, was passiert, wenn sich ein bestimmter Anwender an einem anderen Rechner anmeldet: gpresult /u:benutzername /s:rechnername

Tools, Artikel und Quellen zu Gruppenrichtlinien

Die erste Quelle zu weiteren Informationen rund um das Thema Gruppenrichtlinien ist die Buch-DVD, die auch dann noch mit weiteren Beiträgen angereichert wird, wenn dieses Kapitel bereits beim Drucker gesetzt wird. Auf der Buch-DVD finden Sie ein eigenes Verzeichnis Gruppenrichtlinien mit Tools, Whitepapers, Knowhow-Artikeln und Verweisen auf Webseiten mit weiteren Quellen. Als zweiten Schritt sollten Sie im Internet-Portal des Verlags auf der Update-Seite dieses Buches überprüfen, ob es neue Beiträge zum Thema Gruppenrichtlinien gibt.

[ Zurück ]

[ Zurück zur Artikelübersicht ]

Von Ulrich Schlüter, Autor des Buches "Integrationshandbuch Microsoft-Netzwerk