logo

Verwaltung von Gruppenrichtlinien

Die Gruppenrichtlinien in Active Directory ermöglichen eine zentrale Verwaltung der Konfigurationseinstellungen von Windows. Zwar gibt es noch weitere Verwaltungslösungen wie den PowerShell-Dienst zum Konfigurieren des gewünschten Zustands und die Verwaltung mobiler Geräte, doch empfehlen sich Gruppenrichtlinien vor allem für in die Domäne eingebundene Client-Geräte, da sie eine detailliertere Kontrolle ermöglichen als andere Lösungen.

Die Gruppenrichtlinien-Verwaltungskonsole

Die Einstellungen von Gruppenrichtlinien werden in Gruppenrichtlinienobjekten (GPOs) konfiguriert. Sie können GPOs mit Domänen, Standorten und Organisationseinheiten verknüpfen. Um eine noch bessere Kontrolle zu erzielen, können Gruppenrichtlinienobjekte auf der Grundlage der Ergebnisse von WMI-Filtern (Windows Management Instrumentation) angewendet werden. WMI-Filter sollten jedoch sparsam verwendet werden, da sie die Richtlinienverarbeitung deutlich verlangsamen können.

Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) ist ein integriertes Tool für die Verwaltung von Windows, mit dem Administratoren Gruppenrichtlinien in einer Active Directory-Gesamtstruktur verwalten und Daten für die Fehlerbehebung in Gruppenrichtlinien abrufen können. Die Gruppenrichtlinien-Verwaltungskonsole können Sie über das Menü „Tools“ im Microsoft Windows Server-Manager aufrufen. Da es nicht empfehlenswert ist, für routinemäßige Verwaltungsaufgaben die Domänencontroller zu verwenden, sollten Sie die Remoteserver-Verwaltungstools (RSAT) für Ihre Windows-Version installieren.

Installation der Gruppenrichtlinien-Verwaltungskonsole

Wenn Sie mit Windows 10 Version 1809 oder höher arbeiten, können Sie die Gruppenrichtlinien-Verwaltungskonsole über die Anwendung „Einstellungen“ installieren:

  1. Öffnen Sie die Anwendung „Einstellungen“ mit der Tastenkombination WIN+I.
  2. Klicken Sie auf „Apps“.
  3. Klicken Sie auf „Optionale Features“.
  4. Klicken Sie auf „Feature hinzufügen“.
  5. Klicken Sie auf „RSAT: Tools zur Gruppenrichtlinienverwaltung“ und anschließend auf „Installieren“.
  6. Gruppenrichtlinienverwaltung: Installation der Gruppenrichtlinien-Verwaltungskonsole über die Einstellungen

Group Policy Management Installing the Group Policy Management Console using the Setting app interface

Abbildung 1: Installation der Gruppenrichtlinien-Verwaltungskonsole über die Einstellungen

Wenn Sie mit einer älteren Windows-Version arbeiten, müssen Sie die richtige RSAT-Version von der Website von Microsoft herunterladen.

Um sich die Arbeit zu erleichtern, können Sie auch den Server-Manager installieren. Falls Sie dies nicht möchten, können Sie die Gruppenrichtlinien-Verwaltungskonsole zur Microsoft Management Console (MMC) hinzufügen und die Konsole speichern.

Verwenden der Gruppenrichtlinien-Verwaltungskonsole

In jeder Active Directory-Domäne gibt es standardmäßig zwei Gruppenrichtlinienobjekte:

  • die Standarddomänen-Richtlinie, die mit der Domäne verknüpft ist
  • die Standarddomänencontroller-Richtlinie, die mit der Organisationseinheit des Domänencontrollers verknüpft ist

Sie können alle Gruppenrichtlinienobjekte in einer Domäne anzeigen, indem Sie auf den Container „Gruppenrichtlinienobjekte“ im linken Bereich der Gruppenrichtlinien-Verwaltungskonsole klicken.

Group Policy Management Interface of the Group Policy Management Console

Abbildung 2: Oberfläche der Gruppenrichtlinien-Verwaltungskonsole

Erstellen neuer Gruppenrichtlinienobjekte

Nehmen Sie keine Änderungen an der Standarddomänencontroller-Richtlinie oder der Standarddomänen-Richtlinie vor. Um eigene Einstellungen hinzuzufügen, erstellen Sie am besten ein neues Gruppenrichtlinienobjekt. Es gibt zwei Methoden für die Erstellung von Gruppenrichtlinienobjekten:

  • Klicken Sie mit der rechten Maustaste auf die Domäne, Website oder Organisationseinheit, mit der Sie das neue Gruppenrichtlinienobjekt verknüpfen möchten, und wählen Sie „Gruppenrichtlinienobjekt hier erstellen und verknüpfen…“. Sobald Sie das neue Gruppenrichtlinienobjekt speichern, wird es verknüpft und umgehend aktiviert.
  • Klicken Sie mit der rechten Maustaste auf den Container „Gruppenrichtlinienobjekte“ und wählen Sie im Menü den Befehl „Neu“. Sie müssen das neue Gruppenrichtlinienobjekt in diesem Fall manuell verknüpfen, indem Sie mit der rechten Maustaste auf die gewünschte Domäne, Website oder Organisationseinheit klicken und „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“ wählen. Diese Verknüpfung können Sie jederzeit vornehmen.

Unabhängig davon, mit welcher Methode Sie das neue Gruppenrichtlinienobjekt erstellen, müssen Sie im Dialogfeld „Neues Gruppenrichtlinienobjekt“ einen Namen für das neue Objekt eingeben. Sie können außerdem festlegen, dass es auf einem vorhandenen Gruppenrichtlinienobjekt basieren soll. Die weiteren Optionen werden im nächsten Abschnitt ausführlicher erläutert.

Bearbeiten von Gruppenrichtlinienobjekten

Um ein Gruppenrichtlinienobjekt zu bearbeiten, klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf das Objekt und wählen im Menü den Befehl „Bearbeiten“. Der Gruppenrichtlinienverwaltungs-Editor von Active Directory wird daraufhin in einem separaten Fenster geöffnet.

Group Policy Management Interface of the Group Policy Management Editor

Abbildung 3: Oberfläche des Gruppenrichtlinienverwaltungs-Editors

Gruppenrichtlinienobjekte sind in Computereinstellungen und Benutzereinstellungen unterteilt. Computereinstellungen werden beim Starten von Windows angewendet, Benutzereinstellungen bei der Anmeldung eines Benutzers. Die Hintergrundverarbeitung von Gruppenrichtlinien wendet die Einstellungen regelmäßig an, wenn eine Änderung in einem Gruppenrichtlinienobjekt festgestellt wird.

Richtlinien und Einstellungen im Vergleich

Benutzer- und Computereinstellungen untergliedern sich weiter in Richtlinien und Einstellungen:

  • Richtlinien führen nicht zu einer Ansammlung zahlreicher Einträge in der Registrierung: Wird eine Einstellung eines Gruppenrichtlinienobjekts geändert oder liegt das Gruppenrichtlinienobjekt außerhalb des Bereichs, wird die Richtlinieneinstellung gelöscht und stattdessen der ursprüngliche Wert verwendet. Richtlinieneinstellungen heben stets die Konfigurationseinstellungen einer Anwendung auf und sind abgeblendet, damit Benutzer sie nicht ändern können.
  • Einstellungen hinterlassen standardmäßig eine Vielzahl von Einträgen in der Registrierung. Dieses Verhalten kann jedoch für jede Einstellung konfiguriert werden. Einstellungen setzen die Konfigurationseinstellungen einer Anwendung außer Kraft, ermöglichen den Benutzern jedoch eine Änderung der Konfigurationselemente. Viele der konfigurierbaren Elemente in den Gruppenrichtlinieneinstellungen wurden bislang häufig mit einem Anmeldeskript konfiguriert, beispielsweise die Laufwerkszuordnungen und die Druckerkonfiguration.

Durch Aufklappen der Richtlinien oder Einstellungen können Sie die dazugehörigen Einstellungen konfigurieren. Diese Einstellungen werden dann auf die Computer- und Benutzerobjekte angewendet, die in den Bereich des Gruppenrichtlinienobjekts fallen. Wenn Sie beispielsweise ein neues Gruppenrichtlinienobjekt mit der Organisationseinheit des Domänencontrollers verknüpfen, werden die Einstellungen auf die Computer- und Benutzerobjekte in dieser Organisationseinheit und alle untergeordneten Organisationseinheiten angewendet. Mit der Einstellung „Vererbung deaktivieren“ für eine Website, Domäne oder Organisationseinheit können Sie festlegen, dass Gruppenrichtlinienobjekte für übergeordnete Objekte nicht auf untergeordnete Objekte angewendet werden. Sie können für einzelne Gruppenrichtlinienobjekte auch die Option „Erzwungen“ aktivieren. Damit wird die Einstellung „Vererbung deaktivieren“ außer Kraft gesetzt, sodass Konfigurationselemente in den Gruppenrichtlinienobjekten Vorrang haben.

Rangfolge von Gruppenrichtlinienobjekten

Sie können mehrere Gruppenrichtlinienobjekte mit Domänen, Websites und Organisationseinheiten verknüpfen. Wenn Sie in der Gruppenrichtlinien-Verwaltungskonsole auf eines dieser Objekte klicken, wird rechts auf der Registerkarte „Verknüpfte Gruppenrichtlinienobjekte“ eine Liste der verknüpften Gruppenrichtlinienobjekte angezeigt. Gibt es mehr als ein verknüpftes Gruppenrichtlinienobjekt, haben die Objekte mit einem höheren Rang in der Verknüpfungsreihenfolge Vorrang vor den Einstellungen von Gruppenrichtlinienobjekten mit einem niedrigeren Rang.

Sie können die Verknüpfungsreihenfolge ändern, indem Sie auf ein Gruppenrichtlinienobjekt klicken und ihm mit den Pfeilschaltflächen links einen höheren bzw. niedrigeren Rang zuweisen. Auf der Registerkarte „Gruppenrichtlinienvererbung“ werden alle angewendeten Gruppenrichtlinienobjekte angezeigt, auch die Objekte, die von übergeordneten Objekten vererbt wurden.

Group Policy Management Information about all applied GPOs in GPMC

Abbildung 4: Informationen zu allen angewendeten Gruppenrichtlinienobjekten in der Gruppenrichtlinien-Verwaltungskonsole

Erweiterte Gruppenrichtlinienverwaltung

Die Erweiterte Gruppenrichtlinienverwaltung ist Bestandteil des Microsoft Desktop Optimization Pack (MDOP) für Software Assurance-Kunden. Im Gegensatz zur Gruppenrichtlinien-Verwaltungskonsole handelt es sich bei der Erweiterten Gruppenrichtlinienverwaltung um eine Client/Server-Anwendung, bei der die Serverkomponente Gruppenrichtlinienobjekte zusammen mit ihrer Historie offline speichert. Gruppenrichtlinienobjekte, die mit der Erweiterten Gruppenrichtlinienverwaltung verwaltet werden, werden auch als gesteuerte Gruppenrichtlinienobjekte bezeichnet, da sie vom Dienst verwaltet werden und Administratoren die Objekte ein- und auschecken können (ähnlich dem Ein- und Auschecken von Code auf GitHub oder von Dateien in einem Dokumentenverwaltungssystem).

Die Erweiterte Gruppenrichtlinienverwaltung ermöglicht eine genauere Steuerung von Gruppenrichtlinienobjekten als die Gruppenrichtlinien-Verwaltungskonsole. Neben einer Versionskontrolle stehen auch Funktionen zur Verfügung, mit denen Sie Gruppenrichtlinienadministratoren Rollen (z. B. Prüfer, Editor oder Genehmiger) zuweisen können. Auf diese Weise können Sie eine strenge Änderungskontrolle für den gesamten Lebenszyklus von Gruppenrichtlinienobjekten implementieren. Mit den Überwachungsfunktionen der Erweiterten Gruppenrichtlinienverwaltung profitieren Sie außerdem von besserem Einblick in Änderungen an Gruppenrichtlinien.

Die Lieblingsanleitungen von Systemadministratoren