Grundlagen der Group Policy Objects
Richtlinienkompetenz
Die Gruppenrichtlinien (Group Policy Objects, GPOs) gehören zu den leistungsfähigsten Hilfmitteln der Windows-Systemverwaltung. Gleichzeitig ist das Wissen über ihren Einsatzzweck häufig unzureichend. Daher beleuchtet dieser Betrag Einsatzmöglichkeiten und Nutzen der Gruppenrichtlinien und stellt einige Verwaltungswerkzeuge vor.
Gruppenrichtlinien werden häufig missverstanden: Sie haben per se nichts mit Benutzergruppen zu
tun. Vielmehr erlauben sie die Gruppierung von Richtlinien in leichter verwaltbare Einheiten. Des
Weiteren erfordern Gruppenrichtlinien nicht zwingend die Existenz des Active Directorys (AD),
sondern lassen sich auch unabhängig davon verwenden. Von Microsoft ab Windows 2000 implementiert,
führen sie damit die NT-Systemrichtlinien fort.
Dennoch: Im praktischen Einsatz werden die Gruppenrichtlinien den im AD hinterlegten Benutzer-
oder Computerkonten zugeordnet. Die prinzipielle Trennung von Active Directory und Benutzergruppen
ermöglichgt eine flexible Auslegung und die Anwendung der Gruppenrichtlinien auch in
Systemumgebungen, in denen das AD nicht zum Einsatz kommt. Derzeit umfassen die Gruppenrichtlinien
über 1500 Einstellungen. Allein mit Windows Vista werden zirka 500 weitere Parameter dazukommen.
Generell parametrisieren die Gruppenrichtlinien vor allem die Windows-Betriebsysteme, den Internet
Explorer und weitere Applikationen. Der Einsatzzweck gliedert sich in mehrere Aufgabenblöcke:
die zentrale Konfiguration von Sicherheitseinstellungen für Computer und
Benutzer,
die zentrale Vergabe von Berechtigungen für den Zugriff auf Dateien, Ordner
und Registry-Schlüssel,
die automatisierte Installation und zent-rale Konfiguration von Anwendungen
auf die verwalteten Systeme,
die Festlegung von An- und Abmeldeskripten für Benutzer,
die Vorgabe von Skripten, die beim Start und Herunterfahren eines Computers
auszuführen sind,
Remote-Installationsdienste sowie
die Konfiguration des Internet Explorers und weiterer Applikationen samt
wichtiger URLs, Proxy- und Sicherheitseinstellungen.
Allen Funktionen gemein ist, dass es sich um zentral verwaltete Einstellungen handelt, die in
regelmäßigen Abständen auf die Geräte zu verteilen sind und dort zur Ausführung kommen.
Standardmäßig werden die Gruppenrichtlinien auf Domänen-Controllern alle fünf Minuten aktualisiert.
Weitere Server und Arbeitsstationen erhalten alle 90 bis 120 Minuten ein Update der
Gruppenrichtlinien. Neben diesen AD-basierten Gruppenrichtlinien gibt es ferner auch rein lokale,
also auf den jeweiligen Rechner bezogene Gruppenrichtlinien, die jedoch in den Möglichkeiten und
Auswirkungen weitaus begrenzter sind.
Prinzipiell zu unterscheiden sind zwei GPO-Arten: auf Computer und auf Benutzer bezogene. Jede
Gruppenrichtlinie weist somit diese zwei Blöcke auf, wenngleich sie nicht zusammen Verwendung
finden müssen. Durch diese Zweiteilung lassen sich sowohl gerätespezifische Einstellungen als auch
benutzerbezogene Konfigurationen verwalten. Die gerätespezifischen GPOs werden beim Aufbau der
Netzwerkverbindung des jeweiligen Computers angewandt, die benutzerbezogenen Einstellungen bei der
Anmeldung des Benutzers.
Verwaltung der Gruppenrichtlinien
Der Erstellung und Verwaltung der GPOs dienen der Gruppenrichtlinienobjekt-Editor und die GPMC
(Group Policy Management Console). In beiden Fällen handelt es sich um Snap-ins zur MMC (Microsoft
Management Console), die Microsoft liefert. Der GPO-Editor ist standardmäßig vorhanden, die GPMC
ist explizit nachzuladen. Daneben gibt es weitaus komfortablere Werkzeuge von Drittanbietern. All
diese Werkzeuge erlauben die Erstellung, Änderung und Löschung der Gruppenrichtlinien mit
unterschiedlichem Komfort. Die letztliche Aktivierung erfolgt durch die Zuordnung einer
Gruppenrichtlinie zum Active Directory (AD). Dieses kennt als Organisationsmerkmal den Standort
(Site), die Domäne und die Organisationseinheit (Organisational Unit, OU). Eine Gruppenrichtlinie
lässt sich jedoch nicht direkt diesen Strukturelementen zuordnen, sondern nur Gruppen darin.
Durch die Schachtelung insbesondere der OUs entsteht in der Regel eine mehrstufige
Organisationsstruktur. Häufig wird der Weg gegangen, die Organisationsstruktur des Unternehmens im
AD eins zu eins abzubilden. Dies ist zwar schnell passiert, aber meist nicht das optimale Vorgehen.
So weist zum Beispiel ein Unternehmen mit mehreren Standorten mehrere Sites und Domänen sowie eine
Organisationsstruktur mit Bereichen, Abteilungen, Gruppen etc. auf. In allen Niederlassungen mag es
mobile Benutzer mit VPN-Access oder auch Power-User mit besonderen Applikationen geben. Diese
Benutzergruppen überspannen aber in der Regel Standorte und vielleicht auch Domänen. Der
Administrator sollte also besser logische Rechner- oder Benutzergruppen zusammenfassen. Hier zeigt
die strenge hierarchische Eins-zu-eins-Abbildung Mängel.
Eine optimaler Aufbau der AD-Hierarchie ist somit sowohl für die Basisverwaltung einer
verteilten Windows-Umgebung als auch für die Gruppenrichtlinien selbst von großer Hilfe. Dabei gilt
es festzuhalten, dass weder eine sehr flache noch eine sehr detaillierte und tiefe Struktur das
nützlichste Vorgehen darstellen wird. Das Optimum wird im Mittelweg liegen: wenn sich die Regeln
und Abhängigkeiten auf ein gesundes Mittelmaß einpendeln.
Durch die Zuordnung der Gruppenrichtlinien zu den OUs erfolgt die Freischaltung der GPOs zur
Aktivierung. Abhängig von den Replikationszeiten zwischen den Domänen-Controllern und der
Ausbringung auf die Zielsysteme werden die Richtlinien aktiv. Zu berücksichtigen ist allerdings,
dass manche Richtlinie erst beim Start des Rechners, bei der Anmeldung des Benutzers oder einem
Start einer Anwendung geprüft wird. Es wird also in jedem Fall Verzögerungen bei der Anwendung
einer Gruppenrichtlinie geben.
Gruppenrichtlinien sind also für Ad-hoc-Maßnahmen – zum Beispiel für Security-bedingte
Workarounds – nur bedingt einsetzbar, da keine sofortige Aktivierung möglich ist. Ferner sind die
Richtlinien immer von ihrem Domänen-Controller zum Endgerät zu übermitteln, was beispielsweise bei
DNS- oder Netzwerkprob-lemen nicht gewährleistet sein muss. Umgekehrt bedeutet es aber auch, dass
eine Gruppenrichtlinie, wenn sie erst einmal erstellt und zugewiesen wurde, mit einer gewissen
Verzögerung aktiv sein wird und dann nicht einfach außer Kraft gesetzt werden kann.
Große Umsicht erforderlich
Gruppenrichtlinien sind mit großer Umsicht aufzubauen: Aus der hierarchischen Struktur der im AD
hinterlegten Organisation folgt eine ebenso hierarchische Struktur der Gruppenrichtlinien. Hier
greifen Vererbungsregeln, die einzelnen Richtlinien wirken immer kumulativ. Dies kann zu Problemen
führen: Hat beispielsweise ein Unternehmen einen sechsstufigen Organisationsaufbau im AD und
parallel eine sechsstufige Gruppenrichtlinienstruktur, so ist nicht immer sofort ersichtlich,
welche Rechte nun auf der jeweiligen Stufe für den Rechner oder Benutzer Verwendung finden.
Erschwerend kommt hinzu, dass gerade in verteilten Unternehmen die Gruppenrichtlinien verteilt
erstellt werden können und auch sollen.
GPOs können einen von drei Zuständen annehmen: Sie sind entweder "nicht definiert", "aktiv" oder
"nicht aktiv". Der Administrator kann also eine Richtlinie, die weiter oben in der
Vererbungshierarchie aktiviert wurde, später wieder deaktivieren. Es gilt zudem, die
Ausnahmeregelung für die Vererbung der Gruppenrichtlinien zu beachten. So lässt sich durch "Block
Inheritance" auf jeder Ebene festlegen, dass die Vererbung für diese Stufe außer Kraft gesetzt
wird, sofern die Rechte dazu gegeben sind. Manche Policies der Domäne sind jedoch nicht
blockierbar: Denn umgekehrt lässt sich durch "No override" bestimmen, dass eine Ausnahme nicht
akzeptiert wird, sondern eine Gruppenrichtlinie in jedem Fall zur Anwendung kommt – unabhängig
davon, was weiter unten in der Hierarchie festgelegt ist. Diese Unübersichtlichkeiten bei der
Verwaltung und Aktivierung der Gruppenrichtlinien hat zur Folge, dass sich eine Reihe von
Drittanbietern um dieses Segment bemühen – teils mit weitaus besseren Werkzeugen, als sie Microsoft
mit dem GPO-Editor oder der GPMC bietet.
Tools von Drittanbietern
Zu diesen Werkzeugen zählen beispielsweise Group Policy Manager von Quest, Active Administrator
von Scriptlogic sowie die Werkzeugfamilie Policymaker von Desktop Standard. Das letztgenannte
Unternehmen wurde allerdings mittlerweile von Microsoft übernommen. Zu dieser Anbietergruppe zählt
schließlich NetIQ. Dieses Unternehmen liefert drei Produkte zur Verwaltung und Überwachung der
Gruppenrichtlinien: Der Group Policy Administrator ist NetIQs zentrales Verwaltungs-Tool zur
Erstellung und Anwendung der Gruppenrichtlinien. Der Group Policy Guardian dient einer weiter
gehenden Überwachung, und Intellipolicy for Clients schließlich liefert Policy-Erweiterung für die
Endgeräte wie beispielsweise für das Blockieren von USB-Geräten. In den folgenden Erläuterungen
wird exemplarisch auf die Group-Policy-Werkzeuge von Net-IQ Bezug genommen. Dabei ist aber
anzumerken, dass Funktionen und Abfolge in ähnlicher Weise auch bei den anderen Tools in diesem
Segment anzutreffen sind.
Zu den Besonderheiten der NetIQ- gegenüber den Microsoft-Tools zählt vor allem der Aspekt, dass
NetIQ eine Datenbank zur Verwaltung der Gruppenrichtlinien vor das AD schaltet. Dabei unterstützt
der Anbieter jede Ausprägung des SQL Servers (Standard Edition, Express Edition, MSDE etc.). Alle
Aktionen werden hier zuerst in der Datenbank abgewickelt. Die Änderungen an den Gruppenrichtlinien
wirken also nicht direkt und sofort auf aktive Einstellungen des ADs ein. Die Datenbank selbst
lässt sich, sofern gewünscht, zu Beginn mit den aktuellen, im AD hinterlegten Einträgen befüllen.
Alle weiteren Änderungen fallen dann zuerst in der Datenbank an. Dies wirkt zwar auf den ersten
Blick nicht besonders spektakulär, bietet aber eine Reihe zusätzlicher Möglichkeiten wie etwa ein
vollständiges, Auditing-gerechtes Change-Management.
Denn aufgrund der geschilderten Komplexität der Gruppenrichtlinien in Verbindung mit jener eines
mehrstufigen AD-Aufbaus können sehr komplexe Ergebnisse zustande kommen, die der Administrator
besser vorab in einer Testumgebung prüfen sollte. Andernfalls kann eine vorschnelle oder unbedachte
Änderung, die sich beispielsweise auf die gesamte Domäne erstreckt, fatale Auswirkungen
hervorrufen. Dies kann im Extremfall soweit gehen, dass sich der Administrator selbst die
notwendigen Rechte für die weitere korrekte Nutzung des Systems entzieht. Daher ist vor dem
Roll-out entscheidender Gruppenrichtlinien unbedingt deren Auswirkung – das Resulting Set of
Policies (RSoP) – zu prüfen.
Diese Prüfung erlauben deshalb die meisten Tools – mit unterschiedlich großem Komfort. In der
NetIQ-Werkzeugreihe übernimmt der als Group Policy Analysis bezeichnete Vorgang neben diesem
Vergleich eine weiter gehende Diagnose und liefert auch die Unterschiede zwischen einer früheren
und späteren Version der Group Policies samt GPO-Versionsverwaltung und einem mehrstufigen
Freigabeprozess. Hier sind Gruppenrichtlinien vor einer Änderung explizit zu entladen (Check-out)
und nach der Änderung wieder neu zu laden (Check-in). Der Group Policy Guardian überwacht dabei die
vorgenommenen Änderungen und liefert Auditing-Informationen dazu, zum Beispiel die Änderungen
selbst inklusive dem Zeitpunkt und den Personen, die diese Änderungen vorgenommen haben.
Außerdem beinhalten solche Tools eine feinere Abstufung der Rechte und Berechtigungen. Dies
vereinfacht die verteilte Administration der Gruppenrichtlinien. So können zum Beispiel Berechtigte
in den Fachabteilungen zwar Gruppenrichtlinien erstellen, die letztendliche Prüfung und Freigabe
jedoch liegt nach wie vor beim verantwortlichen IT-Mitarbeiter.
Fazit
Die Windows-Gruppenrichtlinien stellen ein leistungsfähiges Hilfsmittel zur Verwaltung einer
Microsoft-Infrastruktur bereit. Zur Durchführung von Ad-hoc-Maßnahmen eignen sie sich allerdings
nicht. Die Definition und Verteilung der Richtlinien muss unbedingt mit Bedacht erfolgen. Dazu
bietet der Markt zum Glück eine Vielzahl leistungsfähiger Werkzeuge, die den Leistungsumfang der
Microsoft-Tools sinnvoll ergänzen.
Lesen Sie mehr zum Thema
