Mit den Gruppenrichtlinien von Windows Server Active Directory (AD) lassen sich Konfigurationen verwalten. In diesem Artikel werden die Gruppenrichtlinien-Tools von Microsoft und die besten Tools von Drittanbietern für die Verwaltung von Gruppenrichtlinien vorgestellt.
Die Gruppenrichtlinien-Verwaltungskonsole
Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) ist die integrierte Software von Microsoft Windows Server für die Verwaltung von Gruppenrichtlinien. Zwar gibt es von Microsoft selbst und auch von anderen Anbietern noch weitere Tools, doch ist die GPMC unverzichtbar. Sie ist auch in den Remoteserver-Verwaltungstools (RSAT) für Windows-Client-Betriebssysteme enthalten und kann daher ohne Anmeldung auf einem Domänencontroller verwendet werden. Sie beinhaltet außerdem ein PowerShell-Modul, mit dem sich viele Aspekte der Gruppenrichtlinienverwaltung automatisieren lassen.
Mit der Gruppenrichtlinien-Verwaltungskonsole können Sie Gruppenrichtlinienobjekte (GPOs) erstellen, bearbeiten und mit AD-Websites, Domänen und Organisationseinheiten verknüpfen. Der Gruppenrichtlinienobjekt-Editor ist ein separates Tool, der über die GPMC aufgerufen wird und die Bearbeitung und den Import von GPO-Einstellungen sowie die Sicherung und Wiederherstellung von Gruppenrichtlinienobjekten ermöglicht. Mit den erweiterten Funktionen der GPMC können Sie WMI-Filter (Windows Management Instrumentation) auf Gruppenrichtlinienobjekte anwenden, die Vererbung blockieren und GPO-Verknüpfungen erzwingen.
Systemadministratoren können über die GPMC anzeigen, welche Einstellungen in Gruppenrichtlinienobjekten konfiguriert wurden, ohne hierfür den Gruppenrichtlinienobjekt-Editor aufrufen zu müssen. In komplexeren Szenarien, in denen mehrere Gruppenrichtlinienobjekte auf AD-Objekte angewendet werden, zeigt der Richtlinienergebnissatz an, welche Gruppenrichtlinienobjekte und Einstellungen in der Praxis auf Benutzer, Computer oder beide angewendet werden. Der Richtlinienergebnissatz kann im Protokollierungs- oder Planungsmodus ausgeführt werden: Die GPMC-Funktion für die Gruppenrichtlinienmodellierung ist der Richtlinienergebnissatz im Planungsmodus, während das Tool Gruppenrichtlinienergebnisse den Richtlinienergebnissatz im Protokollierungsmodus beinhaltet und Berichte erstellt, die im HTML-Format gespeichert werden können.
Tools von SDM Software
SDM Software stellt verschiedene Tools für die Gruppenrichtlinienverwaltung zur Verfügung:
- Der GPO Migrator eignet sich ideal für Unternehmen, die Gruppenrichtlinienobjekte bereinigen oder konsolidieren müssen. Sie können damit auswählen, welche Einstellungen in andere Gruppenrichtlinienobjekte übertragen werden sollen, und sogar Einstellungen für die Verwendung mit dem PowerShell-Dienst zum Konfigurieren des gewünschten Zustands migrieren.
- GPO Policy Reporting Pak ist ein erweitertes Berichts- und Analyse-Tool, mit dem Sie schnell Einstellungen suchen und Gruppenrichtlinienobjekten sowie doppelt vorhandene oder konkurrierende Einstellungen auf Unterschiede analysieren können. Es kann außerdem Gruppenrichtlinienobjekte in verschiedene Active Directory-Domänen exportieren und Berichte im Excel- oder PDF-Format erstellen. Reporting Pak beinhaltet ein PowerShell-Modul, mit dem Sie alle Aufgaben über die Befehlszeile automatisieren können.
- Das Tool Group Policy Auditing and Attestation (GPAA) ermöglicht die Nachverfolgung von Änderungen in Echtzeit und das Zurücksetzen von unerwünschten Änderungen. Benachrichtigungen zeigen die Werte vor und nach einer Änderung an, sodass Sie genau nachvollziehen können, welche Änderungen von welchem Benutzer wann und wo durchgeführt wurden. GPAA sichert geänderte Gruppenrichtlinienobjekte automatisch und ermöglicht damit ein einfaches Zurücksetzen auf den vorherigen Zustand. Mithilfe der rollenbasierten Verwaltung können Unternehmen die Verwaltung von Gruppenrichtlinien an bestimmte Benutzer delegieren. Sie können Gruppenrichtlinienobjekten Besitzer zuweisen und festlegen, dass diese ihre Gruppenrichtlinienobjekte im Rahmen eines Workflows bestätigen.
- Der Group Policy Compliance Manager überprüft, ob die in Ihren Gruppenrichtlinienobjekten konfigurierten Einstellungen erfolgreich auf Objekte angewendet werden, die im Verwaltungsbereich liegen. Das Produkt unterstützt die agentenbasierte und die agentenlose Erfassung und kann Berichte in einer zentralen SQL-Datenbank speichern, damit sie von verschiedenen Benutzern abgerufen werden können. Es stehen außerdem eine leistungsfähige Suchfunktion für die Suche von Gruppenrichtlinienobjekten und einzelnen Einstellungen sowie ein PowerShell-Modul für die Automatisierung von Aufgaben zur Verfügung.
Netwrix Auditor for Active Directory
Netwrix Auditor for Active Directory ist eine umfassende Auditing-Software für Windows Server Active Directory. Sie stellt Analysen und Informationen zur Sicherheit Ihrer Umgebung bereit, mit deren Hilfe Sie die Aktivitäten im Zusammenhang mit Ihrem Active Directory und Ihren Gruppenrichtlinien besser nachvollziehen können. Netwrix Auditor ermöglicht die Überwachung von Änderungen und Konfigurationen in Active Directory und Gruppenrichtlinien und stellt Informationen dazu bereit, wer wann und wo welche Änderungen durchgeführt hat – einschließlich der Werte vor und nach einer Änderung. Im Dashboard „Enterprise Overview“ werden die Ereignisse in einem bestimmten Zeitraum grafisch dargestellt. Sie können sich über dieses Dashboard detaillierte Informationen anzeigen lassen und Berichte erstellen.
Umfangreiche Statusberichte zu Gruppenrichtlinienobjekten ermöglichen die Dokumentation und Überprüfung aktueller und historischer Einstellungen von Gruppenrichtlinienobjekten. Über integrierte Berichte haben Sie Zugriff auf Detailinformationen zu Ihren Gruppenrichtlinienobjekten. Sie können beispielsweise einen Bericht zu allen aktuellen GPO-Einstellungen erstellen, die sich auf die Kennwortrichtlinie in der Domäne auswirken, und die Ergebnisse mit den Einstellungen zu einem früheren Zeitpunkt abgleichen. So können Sie feststellen, ob Änderungen an den Einstellungen vorgenommen wurden. Ein weiterer Bericht gibt Aufschluss darüber, ob Einstellungen in Gruppenrichtlinienobjekten doppelt vorhanden sind. Durch das Nachverfolgen von redundanten Einstellungen können Sie den Anmeldeprozess effizienter gestalten und Abläufe vereinfachen. Alle Berichte enthalten Filter, mit denen Sie die Ergebnisse weiter verfeinern und so genau die gewünschten Informationen anzeigen können.
Netwrix Auditor unterstützt Sie beim Nachweis, dass Ihr Unternehmen Sicherheitsvorschriften wie die DSGVO, PCI DSS und HIPAA erfüllt. Die Software lässt sich außerdem in andere Sicherheitssysteme integrieren und kann Benachrichtigungen zu Änderungen im Active Directory und an Gruppenrichtlinienobjekten versenden. Der wesentliche Vorteil von Netwrix Auditor gegenüber anderen Tools für die Verwaltung von Richtlinien besteht darin, dass Sie damit nicht nur Gruppenrichtlinien verwalten, sondern Active Directory vollständig überwachen können. Für die Sicherheit sind Gruppenrichtlinien auf Active Directory angewiesen. Sie müssen deshalb sicherstellen, dass Ihre AD-Umgebung sicher ist und allen Vorschriften entspricht, da Angreifer sonst die Kontrollen von Gruppenrichtlinien umgehen können.
Security Compliance Toolkit
Das kostenlose Security Compliance Toolkit (SCT) von Microsoft beinhaltet grundlegende Sicherheitsvorlagen für alle unterstützten Versionen von Windows und Windows Server, mit denen Gruppenrichtlinienobjekte erstellt oder lokale Richtlinien konfiguriert werden können. Das SCT wird regelmäßig aktualisiert und stellt ausführliche Dokumentationen zu den empfohlenen Einstellungen von Gruppenrichtlinien sowie Tabellen zur Verfügung, in denen die Unterschiede zwischen aktuellen und früheren Versionen aufgeführt sind. So können Sie schnell erkennen, was sich geändert hat.
Das SCT enthält Berichte, die eine benutzerfreundliche Navigation durch die Einstellungen ermöglichen. Gruppenrichtlinienobjekte werden als Backup-Objekte bereitgestellt, die Sie über die Gruppenrichtlinien-Verwaltungskonsole importieren können. Sie können abhängig von der Rolle eines Geräts festlegen, welche Gruppenrichtlinienobjekte angewendet werden sollen. Microsoft Windows Server 2019 – Domänencontroller gilt beispielsweise für Domänencontroller, Microsoft Windows Server 2019 – Mitgliedsserver für in die Domäne eingebundene Server.
Im SCT sind zwei praktische Tools enthalten. Der Policy Analyzer gleicht Sätze oder Versionen von Gruppenrichtlinienobjekten ab. Er kann Gruppenrichtlinienobjekte mit lokalen Richtlinien und Registrierungseinstellungen vergleichen und die Ergebnisse im Tabellenformat exportieren. Local Group Policy Object (LGPO) ist ein Befehlszeilentool, mit dem die Verwaltung lokaler Richtlinien auf Systemen automatisiert werden kann, die nicht in eine Active Directory-Domäne eingebunden sind.
Erweiterte Gruppenrichtlinienverwaltung
Die Erweiterte Gruppenrichtlinienverwaltung ist Bestandteil des Microsoft Desktop Optimization Pack (MDOP), das ausschließlich Software Assurance-Kunden zur Verfügung steht. Sie erweitert die Gruppenrichtlinien-Verwaltungskonsole um Funktionen für die Änderungssteuerung und eine bessere Verwaltung von Gruppenrichtlinienobjekten. AGPM 4.0 SP3 unterstützt Windows 10 und basiert auf einer Client/Server-Architektur. Der AGPM-Dienst verwaltet ein Archiv als zentralen Speicher für die gesteuerten Gruppenrichtlinienobjekte und ihren Verlauf. Benutzer stellen über ein Snap-In der Microsoft Management Console (MMC) eine Verbindung zum AGPM-Dienst her.
AGPM-Benutzer können gesteuerte Gruppenrichtlinienobjekte ein- und auschecken und dabei ähnlich vorgehen wie beim Ein- und Auschecken von Dokumenten in einem Dokumentverwaltungssystem. Administratoren können steuern, welche Benutzer zum Ein- und Auschecken von Gruppenrichtlinienobjekten im Archiv berechtigt sind. Damit verfügen sie über eine leistungsfähige Lösung für die Änderungssteuerung für Active Directory-Gruppenrichtlinien. Um zu verhindern, dass Benutzer die Erweiterte Gruppenrichtlinienverwaltung umgehen, müssen Unternehmen mithilfe von Best Practices für die Sicherheit dafür sorgen, dass IT-Mitarbeiter ihre Berechtigungen zum Ändern von Gruppenrichtlinienobjekten in der Domäne nicht ohne die Erweiterte Gruppenrichtlinienverwaltung verwenden.
