Priorisierung von Gruppenrichtlinien

Zugriffe: 4916

Gruppenrichtlinien sind das Handwerkszeug eines jeden Administrators.

Wie aber geht man korrekt mit ihnen um?

Und welche Rolle spielen die Prioritäten, die Reihenfolgen, und das Merkmal "erzwingen"?

Seit Windows Server 2012 R2 haben Administratoren die Möglichkeit, Gruppenrichtlinien zu priorisieren, oder aber auch eine Richtlinie, die eigentlich durch eine andere Richtlinie zurückgenommen wird, zu erzwingen.

GPOs können an verschiedene OUs gebunden werden, anhand einer Sicherheitsgruppe gefiltert werden, oder durch WMI-Filter begrenzt werden; so kann recht schnell ein komplexes Regelwerk entstehen.

Vererbung

Generell gilt, dass GPOs immer von oben nach unten abgearbeitet werden. Oberste Ebene ist hierbei immer die Gesamtstruktur, dann kommt die Domäne, dann kommen die OUs. Setzen wir beispielsweise eine GPO auf Struktur- oder Domänenebene ein, die einen bestimmten Drucker zur Verfügung stellt, gilt diese GPO auch für alle untergeordneten OUs. Diese Prinzip der Vererbung kennt man bereits von NTFS-Berechtigungen und kann hier analog verstanden werden; wie auch bei den Berechtigungen, lässt sich in der GPO-Verwaltung die Vererbung für bestimmte OUs deaktivieren.

Prioritäten

Bild: Thomas Joos

In der GPO-Verwaltung lassen sich nun verschiedene Prioritäten ("Reihenfolge") festlegen. Dazu markiert man die betroffene OU (oder die Domäne) und kann auf der rechten Seite unter "Verknüpfte Gruppenrichtlinienobjekte" alle GPOs sehen, die für die aktuelle OU zur Anwendung kommen.

Über die Buttons mit den Pfeilen lässt sich nun die Reihenfolge der Abarbeitung festlegen.

Sinnvoll ist dies immer dann, wenn ich sichergehen möchte, dass bestimmte Einstellungen auch definitiv Anwendung finden.

GPO erzwingen

Bild: Thomas Joos

Ebenfalls hier lassen sich auch GPOs erzwingen. Dies ist immer dann sinnvoll, wenn ich eine Einstellung tätige, die auf keinen Fall von nachfolgenden OUs widerrufen werden soll. Beispiele hierfür können sicherheitsrelevante Einstellungen (erzwungener Bildschirmschoner nach Inaktivität, Kennwortrichtlinien, etc.) sein.

Wird eine solche GPO als erzwungen definiert, kann sie von anderen GPOs nicht mehr überschrieben werden, auch wenn die Reihenfolge eigentlich ein Überschreiben zulassen würde.

GPOs werden immer komplexer

Selbst in kleinen bis mittleren Netzwerken werden GPOs mittlerweile immer komplexer. Bei geschicktem Einsatz von GPOs lässt sich auch einiges an Administrationsaufwand vermeiden (Netzlaufwerke werden verbunden, Drucker werden bereitgestellt, Software wird installiert, etc.), so dass ein Administrator sich bei geschickter Konfiguration seiner GPOs eine ordentliche Portion an "Turnschuhadministration" erspart. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.