Gruppenrichtlinien

Mit den Gruppenrichtlinien hat der Windows-Administrator ein mächtiges Instrument zur Steuerung des Netzwerks in der Hand.

Windows NT kannte schon einen Vorläufer der Gruppenrichtlinien in Form des POLEDIT und den Policies. Dies war eine Datei NTCONFIG.POL bzw. CONFIG.POL in der NETLOGN-Freigabe. Die Zuordnung der Einstellungen erfolgte über die primäre Gruppe.

Windows 2000/2003 erlaubt nun eine sehr viel leistungsfähigere Definition von Richtlinien, in dem nicht nur auf der Domäne, sondern auch auf OU's, Standorten und dem lokalen System entsprechende Einstellungen hinterlegt werden können. Die Richtlinien werden bis auf Skripte und Softwarepakete auch immer wieder wiederholt angewendet und sind nach Computereinstellungen und Benutzereinstellungen getrennt.

Zum System der Gruppenrichtlinien gehören mehrere Komponenten:

  • Die Gruppenrichtlinie selbst
    Dies ist eine Verzeichnisstruktur auf \\domäne.tld\sysvol\domäne.tld\policies\, in der unter der GUID der Policy mehrere Dateien liegen.

  • ADM-Vorlagen
    Hier ist hinterlegt, welche Einstellungen durchgeführt werden können. Dies ist die Handlungsanweisung für den Gruppenrichtlinieneditor. Diese Dateien werden mit in die GPO kopiert, damit bei einer späteren Änderung immer die gleichen Vorlagen genutzt werden.

  • Gruppenrichtlinieneditor
    Hiermit werden diese Einstellungen durchgeführt. Diese Programm list die ADM-Dateien ein und bietet ihnen die Einstellung der Werte an.

  • MMC für Benutzer und Computer
    Die Gruppenrichtlinien sind in der Domäne definiert, aber können überall im Forrest verknüpft werden. Hierzu dient die Management Console für Benutzer und Gruppen und die MMC für Standorte und Dienste.


Wie wirken Gruppenrichtlinien ?

Die Richtlinien selbst wirken überwiegend so, dass sie bestimmte Einstellungen in Registrierungsschlüssel setzen und die Anwendungen darauf reagieren. Es ist also nicht Windows 2000/2003, welche die Anwendungen begrenzt, sondern die Anwendung selbst ist dafür zuständig, entsprechende Einstellungen zu lesen und die Oberfläche entsprechend anzupassen.

Damit ist auch klar, dass nicht alle Programme sich an die Einstellungen halten müssen. Selbst wenn Sie mit Richtlinien den Zugriff auf bestimmte Programme begrenzen, so greift dies nur, solange der Explorer die Shell ist.


Echte und falsche Richtlinien

Beim Einsatz von Richtlinien fällt immer auf dass Richtlinien drei verschiedene Einstellungen einnehmen können:

  • Nicht konfiguriert
    Die aktuellen Einstellungen beim Benutzer werden nicht verändert, d.h. früher gemachte Einstellung bleiben.

  • Aktiviert
    Die Einstellungen werden übernommen.

  • Deaktiviert
    Die Einstellungen werden aktiv entfernt.


Vererbung von Gruppenrichtlinien und Richtlinienhierarchie

Die effektiv für einen Benutzer und Computer wirkenden Gruppenrichtlinien setzen sich aus mehreren einzelnen Gruppenrichtlinien zusammen, die anhand der Struktur im Active Directory zusammen gestellt werden.

Es werden zuerst die lokalen Richtlinien angewendet, dann die Standortrichtlinien gefolgt von den Richtlinien der Domäne und absteigend die Richtlinien, die an OU's gebunden sind. Eine später angewendete Richtlinie kann dabei Einstellungen einer vorherige Richtlinie außer Kraft setzen oder sogar umkehren.

NEU ab Windows Server 2003

Damit es nicht ganz so einfach wird, können Sie zusätzlich mit Berechtigungen für Benutzer, Computer und Gruppen die Sichtbarkeit filtern und seit Windows 2003 auch WMI-Filter einsetzen. Des weiteren können Sie auch noch in den Richtlinien selbst die Vererbung deakivieren oder überschreiben (Kein Vorrang (erzwungen)).
 

engl. GPMC engl. dt. GPMC dt.
block inheritance block inheritance Richtlinienvererbung deaktivieren Richtlinienvererbung deaktivieren
enforced no override Kein Vorrang erzwungen



Aktualisierungen der Gruppenrichtlinien sind dynamisch und finden in bestimmten Intervallen statt.

  • Clients alle 90min +/- 30min

  • DC  alle 5min +/- 30min

Liegen keine Änderungen vor, werden Gruppenrichtlinien alle 16 Std. +/- 30min erneuert.
Sofortiges Erneuern der Gruppenrichtlinien: gpupdate