Einführung in Gruppenrichtlinien (GPOs)

Gruppenrichtlinien (Group Policy Objects, GPOs) sind ein leistungsstarkes Werkzeug in Active Directory (AD), um Benutzer- und Computereinstellungen zentral zu verwalten. Sie ermöglichen Administratoren, Sicherheitsrichtlinien, Softwareinstallationen und viele andere Konfigurationen in einer Domänenumgebung zu steuern.

---

1. Aufbau und Funktionsweise von GPOs

a) Aufbau von Gruppenrichtlinien:

• Gruppenrichtlinienobjekte (GPOs):
  • Ein GPO ist eine Sammlung von Richtlinieneinstellungen, die auf Benutzer oder Computer angewendet werden können.
  • Es besteht aus zwei Hauptkategorien:
    • Computerkonfiguration: Einstellungen, die auf Computer angewendet werden, unabhängig davon, welcher Benutzer angemeldet ist.
    • Benutzerkonfiguration: Einstellungen, die auf Benutzer angewendet werden, unabhängig davon, an welchem Computer sie sich anmelden.
• Hierarchie:
  • GPOs können auf verschiedene Ebenen in Active Directory angewendet werden:
    1. Standorte: Richtlinien gelten für alle Domänencontroller und Computer in einem geografischen Standort.
    2. Domänen: Richtlinien gelten für alle Benutzer und Computer in der Domäne.
    3. Organisationseinheiten (OUs): Richtlinien gelten für Benutzer und Computer in einer spezifischen OU.
• Vererbung:
  • GPOs werden standardmäßig von oben nach unten vererbt (Standort → Domäne → OU).
  • Administratoren können die Vererbung blockieren oder GPOs erzwingen.

b) Funktionsweise:

• Verknüpfung: GPOs werden mit einer Active Directory-Struktur (z. B. einer OU) verknüpft.
• Richtlinienverarbeitung:
  • Computerrichtlinien werden beim Start des Computers angewendet.
  • Benutzerrichtlinien werden beim Anmelden des Benutzers angewendet.
• Reihenfolge der Anwendung:
  • Lokale Richtlinien: Werden zuerst angewendet.
  • Standort-GPOs: Werden danach angewendet.
  • Domänen-GPOs: Werden anschließend angewendet.
  • OU-GPOs: Werden zuletzt angewendet.

---

2. Erstellen und Verwalten von GPOs

a) Erstellen eines neuen GPOs:

1. Gruppenrichtlinienverwaltung öffnen:
   • Öffne die „Gruppenrichtlinienverwaltung“ (GPMC) über den Server-Manager oder gpmc.msc.
2. Neues GPO erstellen:
   • Rechtsklicke auf die Domäne oder OU, mit der das GPO verknüpft werden soll, und wähle „Gruppenrichtlinienobjekt hier erstellen und verknüpfen“.
   • Gib einen aussagekräftigen Namen für das GPO ein (z. B. „Passwortrichtlinien“).
3. GPO bearbeiten:
   • Rechtsklicke auf das GPO und wähle „Bearbeiten“, um den Gruppenrichtlinien-Editor zu öffnen.
   • Konfiguriere die gewünschten Einstellungen unter „Computerkonfiguration“ oder „Benutzerkonfiguration“.

b) Verwalten von GPOs:

1. GPO verknüpfen:
   • Ein GPO kann mit mehreren OUs, Domänen oder Standorten verknüpft werden.
   • Rechtsklicke auf die gewünschte Struktur und wähle „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“.
2. Priorität festlegen:
   • Die Reihenfolge der GPOs in einer OU oder Domäne kann angepasst werden. Höher priorisierte GPOs überschreiben niedrigere.
3. Vererbung blockieren:
   • Rechtsklicke auf eine OU und wähle „Vererbung blockieren“, um GPOs von übergeordneten Ebenen zu ignorieren.
4. GPO erzwingen:
   • Rechtsklicke auf ein GPO und wähle „Erzwingen“, um sicherzustellen, dass es Vorrang vor anderen GPOs hat.
5. GPO testen:
   • Verwende den Befehl gpupdate /force, um Richtlinien sofort anzuwenden.
   • Überprüfe die angewendeten Richtlinien mit gpresult /r.

c) Beispiele für häufige Richtlinieneinstellungen:

• Passwortrichtlinien:
  • Mindestlänge, Komplexitätsanforderungen, Ablaufzeit.
  • Pfad: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinien.
• Desktop-Einstellungen:
  • Hintergrundbild, gesperrte Funktionen.
  • Pfad: Benutzerkonfiguration > Administrative Vorlagen > Desktop.
• Softwareeinschränkungen:
  • Verhindern der Ausführung bestimmter Anwendungen.
  • Pfad: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Softwareeinschränkungsrichtlinien.