Group Policy Management Console
Gruppenrichtlinien im Griff
Drei Jahre lang haben Administratoren seit der Einführung des Active Directorys in die Microsoft-Welt auf ein Verwaltungsinstrumentarium gewartet, mit dem sie die Gruppenrichtlinien in einfacher Form visualisieren, verwalten, erstellen, verknüpfen, bearbeiten und vor allem auswerten können. Auf diese Anforderung reagierte Microsoft 2003 mit der Group Policy Management Console.
Mittlerweile ist die Group Policy Management Console (GPMC) mit einem Service-Pack ausgestattet.
Dieses SP nahm aber keine großen Änderung der Quellen vor, sondern formulierte hauptsächlich den
Lizenzvertrag neu: Bei der ersten Auslieferung der GPMC im Sommer 2003 war sie legal nur dann
einzusetzen, wenn eine Windows-2003-Serverlizenz vorhanden war. Dabei spielte es keine Rolle, ob
diese Lizenz produktiv im Einsatz war oder noch "im Schrank" lag. Grundsätzlich lässt sich die GPMC
nur auf einem Windows-XP- oder Windows-2003-System installieren. Der Administrator kann damit aber
auch ein Windows-2000-Active-Directory (AD) verwalten; es muss also kein Windows-2003-AD sein.
Das SP1 hob die Lizenzeinschränkung auf, sodass ein Unternehmen für den GPMC-Einsatz
mittlerweile keine 2003-Lizenz mehr besitzen muss. Sie ist, wenn man so will, in den Bereich einer
Art Freeware gerückt und in jedem Microsoft Active Directory einsetzbar, sofern mindestens eine
XP-Workstation zur Verfügung steht.
Wichtiges Verwaltungswerkzeug
Die GPMC stellt ein kaum verzichtbares Instrument dar. Dies ist daran zu erkennen, dass die
Windows-2003-Small-Business-Serverversionen sie als festen Bestandteil der Computerverwaltung
integriert haben. Die GPMC stellt also keine optionale Erweiterung mehr dar. Sie ist allerdings
nicht in jeden Windows-2003-Server integriert, da sie nicht rechtzeitig fertig gestellt wurde.
Der Administrator kann mit der GPMC (Bild 1) Gruppenrichtlinien bearbeiten und mit
Organisationseinheiten verknüpfen. Auch manipuliert er mit ihr die hierarchische Struktur, die
letztlich bei der Vererbung der Richtlinien eine Rolle spielt. Dies alles gehört zu den
grundsätzlichen Funktionen eines solchen Programms und bedarf keiner großen Erklärung. Im
Vordergrund sollen hier deshalb die Funktionen stehen, die ein Administrator in einem AD bisher
nicht zur Verfügung hatte:
Die GPMC liefert eine geordnete Übersicht über die vorhandenen Richtlinien und
den direkten Zugriff auf jede einzelne.
Sie erlaubt es dem Administrator, die Einstellungen jeder Richtlinie
auszuwerten. Diese Auswertung lässt sich als HTML-Report drucken und speichern.
Die verknüpften Richtlinien einer OU und deren Vererbungsreihenfolge sowie die
Übersicht aller auf dieses Objekt angewandten Richtlinien in korrekter Reihenfolge sind direkt
ersichtlich. Der Administrator sieht dies über die Reiter "Verknüpfte Gruppenrichtlinienobjekte"
beziehungsweise "Gruppenrichtlinien-vererbung" ein.
Der Gruppenrichtlinien-Modellierungsassistent dient dem Test im Sinne eines "
Was wäre wenn?": Welche Einstellungen wären an welchem System oder Benutzer aktiv, wenn der
Administrator die Richtlinie verknüpfen würde? Welche Auswirkungen hätte dies?
Die Gruppenrichtlinienergebnisse bieten den Live-Test, welche Einstellungen
derzeit für einen beliebigen Client oder Benutzer zur Anwendung kommen. Diese Funktion steht leider
nicht für Windows-2000-Betriebsysteme zur Verfügung, da diesen die Möglichkeit zur Bildung eines
RSoP (Resultant Set of Policies) fehlt. Diese Option hat Microsoft erst mit XP eingeführt.
Die GPMC gestattet die Sicherung und vor allem die einfache Rücksicherung
aller Richtlinien. Der Export findet als XML-Datei statt und kann im Falle eines Falles wesentlich
leichter erfolgen als ein "Au-thoritive Restore" des gesammten ADs im Wiederherstellungsmodus.
Dieser sichert mehr als nur die GPOs zurück und verursacht damit unter Umständen mehr Probleme, als
man zuvor hatte.
Eine Richtlinie lässt sich nun kopieren. Vorher musste der Systemverwalter sie
von Hand nachbauen; jetzt kann er vorhandene Einstellungen in eine neue Richtlinie übertragen.
Die Funktion der Sicherung und Rücksicherung ermöglicht den Transfer der
Richtlinien zwischen Domänen, die weder physikalischen Kontakt haben noch in einer Abhängigkeit
oder einem Forest stehen müssen.
Der Administrator kann nun eine Richtlinie mit Standorten verknüpfen, ohne auf
eine andere MMC (Microsoft Management Console) zu wechseln. Vor der GPMC-Einführung verwaltete er
die GPO selbst über "Active Directory Benutzer und Computer", die Verknüpfung zum Standort
erledigte er dann jedoch über "AD Standorte und Dienste".
Microsoft hat eine der schlechtesten Übersetzungen im deutschen AD endlich
beseitigt: Wollte der Systemverwalter eine GPO mit allen Mitteln durchsetzen, ohne dass sie durch
eine nachfolgende überschreibbar ist, konnte er schnell am Verständnis der Formulierung "Kein
Vorrang" scheitern. Der englische Begriff lautet hier "No Override" – der deutsche Ausdruck
bedeutet eher das genaue Gegenteil. Die jetzt verwendete Formulierung "Erzwungen" ist klar und
logisch nachvollziehbar.
Die GPMC ist Skripting-fähig. Bis auf die Einstellungen und Konfiguration
innerhalb der GPO selbst sind alle genannten Funktionen in der Kommandozeile mit vorgefertigten
Skripts zu realisieren. Dies kann kontinuierlichen geplanten Backups dienen oder auch der "
Scharfschaltung" einer GPO zu einem bestimmten Zeitpunkt.
Anhand der verwendeten Icons erkennt der Administrator aktivierte und
deaktivierte Komponenten einer GPO und sogar die Vererbung der Richtlinien. Die komplette Übersicht
ist in der integrierten Hilfe im Thema "Referenz der Symbole in der
Gruppenrichtlinien-Verwaltungskonsole" hinterlegt.
Migrationstabelle für selbst angelegte Gruppen
Die Übergabe oder Wiederherstellung der Richtlinie einer Quelldomäne in einer anderen stellt den
Administrator vor eine kleine Herausforderung. Denn es kann der Fall eintreten, dass die in der GPO
verwendeten Benutzer oder Sicherheitsgruppen im Bereich der "Sicherheitseinstellungen" in der
Zieldomäne nicht bekannt und damit nicht aufzulösen sind. Auf dieses Problem stößt man speziell im
Bereich "Lokale Sicherheitsrichtlinien\Zuweisen von Benutzerrechten" und den Einstellungen für "
Eingeschränkte Gruppen, Systemdienste, Registrierung und Dateisystem".
Für Standardgruppen wie zum Beispiel "Authentifizierte Benutzer" oder "Administratoren"
gestaltet sich die Übergabe problemlos, da diese Gruppen in jedem System zur Verfügung stehen. So
lassen sie sich über die so genannte Well-known SID auflösen. Diese sind in jedem AD gleich.
Arbeitet ein Administrator aber mit eigenen Sicherheitsgruppen oder Benutzern, dann muss er auf ein
Hilfsmittel zurückgreifen: auf die "Migrationstabelle". Der Migrationstabellen-Editor ist
Bestandteil der GPMC und greift genau in diesem Fall. Nehmen wir als Beispiel eine Richtlinie für
einen Terminalserver. In dieser ist das Recht "Anmelden über Terminaldienste" für die selbst
erstellte Sicherheitsgruppe "FirmaXY" definiert. Diese Gruppe wird in der Zieldomäne nicht
vorhanden sein. Selbst wenn der Administrator sie dort mit gleichem Namen erstellt hat, so weicht
ihre SID doch von der der ersten Gruppe ab. An der Übernahme der Sicherheitsgruppe wird der Import
der Richtlinien scheitern. Nach dem Import der Richtlinie erscheint folgende Fehlermeldung:
An dieser Stelle stehen dem Administrator zwei Möglichkeiten offen:
Er editiert die Richtlinie von Hand und ersetzt alle Stellen, an denen eine
nicht aufgelöste Sicherheitsgruppe erscheint. Bei einer Einstellung und einer Gruppe mag das noch
einen vertretbaren Aufwand darstellen, aber spätestens bei zwei Gruppen und zehn Einstellungen ist
dieses Vorgehen nicht mehr sinnvoll. Zudem müsste ein Administrator die Richtlinien nicht kopieren,
nur um sie dann von Hand zu bearbeiten.
Er verwendet die Migrationstabelle und gibt in dieser bekannt, welche in der
vorhandenen Richtlinie verwendete Sicherheitsgruppe der Sicherheitsgruppe in der Zieldomäne
zuzuordnen ist.
Migrationstabellen-Editor
Die Arbeit mit der Migrationstabelle und dem Migrationstabellen-Editor gestaltet sich wie folgt:
Über das Kontextmenü der neu erstellten Richtlinie startet der Administrator den Import. Beim
Ablauf des Wizards kann er den Migrationstabellen-Editor öffnen.
Den nächsten Schritt bildet das Einlesen der vorhandenen Sicherheitsstrukturen der gesicherten
Richtlinie.
Die Zuordnung kann über den gewohnten "Durchsuchen"-Assistenten im AD erfolgen. Die Zuweisung
stellt sich optisch als eine Gegenüberstellung dar.
Nachdem die Migrationstabelle für jede Sicherheitsgruppe erfolgreich angepasst und gespeichert
ist, wird diese automatisch ausgewählt. Der Import sollte im weiteren Verlauf keine Fehler mehr
produzieren.
Skripting-Funktionalität
Die Skripting-Fähigkeit der GPMC ist wohl eines der am wenigsten beachteten Features der GPMC.
Viele Administratoren kennen diese Möglichkeit überhaupt nicht. Um an die Skripte zu gelangen, muss
der Systemverwalter bewusst in den Installationsordner der GPMC schauen und sprichwörtlich über die
Skripte stolpern – außer er gehört zu den Administratoren, die grundsätzlich erst die Hilfe
komplett lesen, bevor sie anfangen, mit einem Programm zu arbeiten.
Die verschiedenen Quellen, die die GPMC vorgestellt haben, gehen immer wieder auf die Oberfläche
und die Möglichkeiten der GUI ein. Die Kommandozeile aber ist für viele Microsoft-Administratoren
immer noch ein Buch mit sieben Siegeln, sofern sie nicht schon einige Jahre Administration hinter
sich haben. Sie sind den Umgang mit der Kommandozeile einfach nicht gewohnt, da sich Vieles mit der
Maus lösen lässt. Bei der Entwicklung des Windows Server 2003 hat Microsoft darauf geachtet, dass
jede Funktion der GUI auch in der CMD umsetzbar ist. Die Verwaltung der Gruppenrichtlinien mit der
GPMC und ihre Skripting-Fähigkeit stellt die logische Folge dieser Entwicklungsarbeit dar.
Zum Beispiel könnte ein Backup aller GPOs als "Geplanter Task" jeden Tag erfolgen. Der Aufruf in
der Kommandozeile erfolgt über die Angabe des Skript-Interpreters (wenn dieser nicht als Default
hinterlegt ist):
cscript BackupAllGPOs.wsf
Für dieses Skript wird folgende Syntax angegeben:
BackupAllGPOs.wsf BackupLocation [/Comment:value] [/Domain:value]
Optionen:
BackupLocation: File system location to back up to
Comment: Optional comment for the backup
Domain: DNS name of domain
Dies wäre dann wie folgt umsetzbar:
cscript BackupAllGPOs.wsf D:\gpo-sik /comment:"Tägliches Backup"
>d:\gpo-sik\log\sicherung.txt
Ich habe die Kommandozeile um ">d:\gpo-sik\log\sicherung. txt" erweitert. Auf diesem Weg
lässt sich die Bildschirmausgabe des Aufrufs in eine Textdatei umleiten. Diese dient wiederum zur
Kontrolle, ob das tägliche Backup der GPOs erfolgreich verlaufen ist. Die für den Administrator
wichtigsten Zeilen befinden sich am Anfang und am Ende der Datei:
== Found 7 GPOs in gpo-5.local to backup ==
Backup succeeded for 7 GPOs.
Backup failed for 0 GPOs.
Die Liste der vorhandenen Skripte umfasst 32 fertige Beispiele. Das Backup spiegelt hier nur
einen kleinen Teil der Möglichkeiten wieder. Mehr zu den Skripten, ihrem Inhalt und ihrer Funktion
findet man in der internen Hilfe im Dokument "Skripterstellung für Gruppenrichtlinien-Tasks". Ein
Blick lohnt sich auf jeden Fall.
Fazit
Mich begeistert die GPMC mit ihren Möglichkeiten immer wieder. Ich halte sie mittlerweile für
unersetzbar. Sie ist für mich in einem homogenen Windows-2000-AD das Hauptargument dafür, zumindest
eine XP-Workstation zur Administration einzusetzen. Auch wenn viele der erwähnten Features nicht
zur täglichen Arbeit und Aufgabenstellung gehören: Allein die mit der GPMC geschaffene
Übersichtlichkeit ist ein Punkt, der die tägliche Arbeit um einiges erleichtert.
Lesen Sie mehr zum Thema
