Group Policy Object

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Ein Group Policy Object (GPO), deutsch Gruppenrichtlinienobjekt, ist unter Microsoft Windows 2000 und dessen Nachfolgern eine digitale Richtlinie für verschiedene Einstellungen.

In diesem Zusammenhang ist eine Group Policy eine auf bestimmte Gruppen oder Arten von Einstellungen begrenzte System Policy.[1] Eine solche Gruppenrichtlinie nennt man auch Gruppenrichtlinienobjekt.[2]

Verwendung[Bearbeiten | Quelltext bearbeiten]

Unter Microsoft Windows 2000 Server und allen Folgeprodukten können Gruppenrichtlinien über die Konsole Gruppenrichtlinienverwaltung erstellt und konfiguriert werden. Die Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC) ist ein Snap-In, das eine erweiterte und verbesserte Konfiguration von Gruppenrichtlinien erlaubt, allerdings zuerst lokal auf dem Computer installiert werden muss (auf Domänencontrollern mit Benutzeroberfläche wird sie stets mitinstalliert). Danach ist sie als eigenständiges Snap-In auch auf Clientbetriebssystemen nutzbar. Allerdings erfordert die GPMC zumindest Windows XP oder Windows Server 2003, unter Windows 2000 ist sie nicht lauffähig. Die Domäne kann aber auf Windows 2000-Level sein.[3] Abgesehen von Standard-Konfigurationen können auch eigene Konfigurationsmöglichkeiten per Administrativer Vorlage, d. h. Dateien mit dem Suffix *.adm (bis Windows XP) bzw. *.admx (seit Windows Vista), genutzt werden. Eine sofortige Aktualisierung kann mit dem Befehl gpupdate.exe /force oder ab Windows 8 oder Server 2012 über die GPMC erzwungen werden.

Einschränkungen unterschiedlicher Richtlinien[Bearbeiten | Quelltext bearbeiten]

Gruppenrichtlinien können mit verschiedenen Objekten verknüpft werden:

  • Site (Standort)
  • Domain (Domäne)
  • OU (Organizational Unit, Organisationseinheit)

Zusätzlich gibt es bei jedem Computer immer eine lokale Richtlinie. Zu beachten ist dabei, dass Gruppenrichtlinien nicht auf Gruppen wirken, sondern nur auf Computer- und Benutzerkonten. GPO enthalten für Benutzer und Computer getrennte Einstellungen. Die Verarbeitungsreihenfolge von Gruppenrichtlinien ist Local, Site, Domain, OU. Jede spätere Verarbeitung überschreibt bei konkurrierenden Einstellungen die Werte der vorher verarbeiteten Richtlinie. Somit haben die Einstellungen in der lokalen Richtlinie die niedrigste Priorität, da sie zuerst verarbeitet wird und die Richtlinie auf der OU hat die höchste Priorität, da sie als letztes verarbeitet wird. Sind GPO auf derselben Ebene verknüpft, entscheidet die Verknüpfungsreihenfolge, wobei die GPO mit dem niedrigsten Wert gewinnt, da sie zuletzt verarbeitet wird.

Local GPO[Bearbeiten | Quelltext bearbeiten]

In Local (Lokal) setzt man Richtlinien für einen einzigen Computer. Ist ein Computer nicht Mitglied einer Domäne, ist die lokale Richtlinie die einzige Möglichkeit, Richtlinien zu nutzen.

Active-Directory-Standorte[Bearbeiten | Quelltext bearbeiten]

Active-Directory-Standorte (engl. Active Directory Sites) definieren sich über die zugeordneten IP-Subnetze oder IPv6-Präfixe. Beispielsweise hat eine große Firma vielleicht einen Sitz in Deutschland, Japan, Korea etc. Nun soll in Japan alles auf die Japaner zugeschnitten werden: Alles auf japanisch etc. Durch Sites können Gebiete abgegrenzt und dann die Richtlinien nach diesem Gebiet gesetzt werden. Ein Hauptgrund für die Einrichtung eines Standortes ist auch die Steuerung des Replikationsverkehrs.

Active-Directory-Domänen[Bearbeiten | Quelltext bearbeiten]

Auf Ebene der Domäne werden Richtlinien für die gesamte Domain festgelegt. Standardmäßig existiert eine Default Domain Policy (DDP), in der insb. Sicherheitseinstellungen definiert sind. Diese sollte möglichst wenig verändert werden. Stattdessen sollten neue GPO auf Ebene der Domäne verlinkt werden. Die DDP kann mit dem Befehl dcgpofix.exe in den Ausgangszustand zurückgesetzt werden.

Active-Directory-Domänencontroller[Bearbeiten | Quelltext bearbeiten]

Auf Ebene der OU Domain Controllers werden Richtlinien für die Domänencontroller festgelegt. Standardmäßig existiert eine Default Domain Controllers Policy (DDCP), in der insb. Sicherheitseinstellungen für die Domänencontroller definiert sind. Diese sollte wie die DDP möglichst wenig verändert werden. Die DDCP kann ebenfalls mit dem Befehl dcgpofix.exe in den Ausgangszustand zurückgesetzt werden.

Sicherheitsfilter[Bearbeiten | Quelltext bearbeiten]

Jede GPO kann durch Sicherheitsfiltern an Sicherheitsgruppen gebunden werden. Standardmäßig wird die Anwendung aller GPO für die Gruppe Authentifizierte Benutzer erlaubt. Dies umfasst sowohl authentifizierte Benutzerkonten als auch Computerkonten. Über die Sicherheitsgruppenfilterung kann die Anwendung bestimmter GPO sowohl erlaubt als auch verboten werden.

WMI-Filter[Bearbeiten | Quelltext bearbeiten]

Jede GPO kann seit Windows XP bzw. Server 2003 mit einem WMI-Filter (engl. Windows Management Instrumentation, deu. Windows Verwaltungsinstrumentation) verknüpft werden. Dadurch kann dynamisch während der Verarbeitung auf Zustände des die GPO anwendenden Objekts reagiert werden. Somit kann z. B. die Anwendung bestimmter GPO an die Version des Betriebssystem oder andere Parameter gebunden werden.

Werkzeuge[Bearbeiten | Quelltext bearbeiten]

Gruppenrichtlinenverwaltungskonsole[Bearbeiten | Quelltext bearbeiten]

Verwaltungskonsole zur Erstellung und Verknüpfung von Gruppenrichlinien

Gruppenrichtlinieneditor[Bearbeiten | Quelltext bearbeiten]

Verwaltungskonsole zur Bearbeitung von Einstellungen der Gruppenrichlinienobjekte

Advanced Group Policy Management[Bearbeiten | Quelltext bearbeiten]

Erweiterte Verwaltungskonsole zur Bearbeitung von Gruppenrichtlinien mit Änderungssteuerung, Versionsverwaltung, Freigabeverfahren usw. Bestandteil des Microsoft Desktop Optimization Pack (MDOP).

Microsoft Security Configuration Manager (SCM)[Bearbeiten | Quelltext bearbeiten]

Inzwischen veraltetes Werkzeug für den Import, Export, Zusammenführen und Vergleich von Gruppenrichtlinien.

Microsoft Security Compliance Toolkit[Bearbeiten | Quelltext bearbeiten]

Das Security Compliance Toolkit (SCT) beinhaltet von Microsoft empfohlene Baselines zur Konfiguration von Windows 10, Windows Server 2012 R2, Windows Server 2016 und Office 2016. Im SCT enthalten sind die Werkzeuge Policy Analyzer zum Vergleich mehrerer Gruppenrichtlinienobjekte oder gegen das resultierende Gruppenrichtlinienergebnis auf einem Computer. Zu Dokumentationszwecken lassen sich die Ergebnisse in Excel exportieren.[4]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]