Erweiterte Gruppenrichtlinien (GPOs) für komplexe Szenarien

von

Stefan
in ,

Erweiterte Gruppenrichtlinien bieten Administratoren die Möglichkeit, die Anwendung von Richtlinien gezielt zu steuern und komplexe Szenarien zu verwalten. Zwei zentrale Konzepte sind dabei GPO-Verknüpfungen und Vererbung sowie die Nutzung von WMI-Filtern und Sicherheitsfilterung.

1. GPO-Verknüpfungen und Vererbung

a) GPO-Verknüpfungen:

  • Ein Gruppenrichtlinienobjekt (GPO) wird nicht direkt auf Benutzer oder Computer angewendet, sondern mit einer Active Directory-Struktur verknüpft:
    • Standorte: GPOs gelten für alle Benutzer und Computer in einem geografischen Standort.
    • Domänen: GPOs gelten für alle Benutzer und Computer in der gesamten Domäne.
    • Organisationseinheiten (OUs): GPOs gelten für Benutzer und Computer in einer spezifischen OU.
  • Verknüpfung erstellen:
    • Öffne die „Gruppenrichtlinienverwaltung“.
    • Rechtsklicke auf eine Domäne oder OU und wähle „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“.
    • Wähle das gewünschte GPO aus der Liste aus.

b) Vererbung:

  • Standardverhalten:
    • GPOs werden standardmäßig von übergeordneten Objekten (z. B. Domäne) an untergeordnete Objekte (z. B. OUs) vererbt.
  • Vererbung blockieren:
    • Rechtsklicke auf eine OU und wähle „Vererbung blockieren“, um GPOs von übergeordneten Objekten zu ignorieren.
    • Hinweis: GPOs, die „erzwingen“ aktiviert haben, überschreiben diese Blockierung.
  • GPO erzwingen:
    • Rechtsklicke auf ein GPO und wähle „Erzwingen“, um sicherzustellen, dass es Vorrang vor anderen GPOs hat.
    • Dies stellt sicher, dass das GPO auch bei blockierter Vererbung angewendet wird.

c) Priorität der GPOs:

  • Wenn mehrere GPOs auf dasselbe Objekt angewendet werden, entscheidet die Reihenfolge der Verknüpfung:
    • GPOs, die weiter unten in der Liste stehen, haben eine höhere Priorität.
    • Die Reihenfolge kann in der Gruppenrichtlinienverwaltung angepasst werden.

d) Reihenfolge der Richtlinienanwendung:

  1. Lokale Richtlinien: Werden zuerst angewendet.
  2. Standort-GPOs: Werden danach angewendet.
  3. Domänen-GPOs: Werden anschließend angewendet.
  4. OU-GPOs: Werden zuletzt angewendet.

2. WMI-Filter und Sicherheitsfilterung

a) WMI-Filter (Windows Management Instrumentation):

  • Definition: WMI-Filter ermöglichen es, GPOs basierend auf bestimmten Kriterien (z. B. Betriebssystem, Hardwareeigenschaften) anzuwenden.
  • Einsatzmöglichkeiten:
    • Anwenden eines GPOs nur auf Computer mit einem bestimmten Betriebssystem (z. B. Windows 10).
    • Anwenden eines GPOs nur auf Computer mit mehr als 4 GB RAM.
  • Erstellen eines WMI-Filters:
    1. Öffne die „Gruppenrichtlinienverwaltung“.
    2. Navigiere zu „WMI-Filter“ und wähle „Neu“.
    3. Gib einen Namen und eine Beschreibung ein.
    4. Erstelle eine Abfrage (Query) in WQL (WMI Query Language).
      • Beispiele:
        • Betriebssystem: SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE "%Windows 10%"
        • Arbeitsspeicher: SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory >= 4294967296
    5. Verknüpfe den WMI-Filter mit einem GPO.
  • Hinweis: WMI-Filter können die Richtlinienverarbeitung verlangsamen, da die Abfragen auf jedem Computer ausgeführt werden.

b) Sicherheitsfilterung:

  • Definition: Sicherheitsfilterung ermöglicht es, GPOs nur auf bestimmte Benutzer oder Gruppen anzuwenden.
  • Standardverhalten:
    • Ein GPO wird standardmäßig auf „Authentifizierte Benutzer“ angewendet (alle Benutzer und Computer in der Domäne).
  • Anpassen der Sicherheitsfilterung:
    1. Öffne die „Gruppenrichtlinienverwaltung“.
    2. Wähle das gewünschte GPO aus.
    3. Entferne „Authentifizierte Benutzer“ aus der Sicherheitsfilterung.
    4. Füge die gewünschten Benutzer, Gruppen oder Computer hinzu.
  • Beispiel:
    • Ein GPO „Marketing-Richtlinien“ wird nur auf die Gruppe „Marketing-Team“ angewendet.
  • Zusammenspiel mit Vererbung:
    • Sicherheitsfilterung wirkt zusätzlich zur Vererbung. Ein GPO wird nur angewendet, wenn sowohl die Verknüpfung als auch die Sicherheitsfilterung erfüllt sind.

Best Practices für erweiterte Gruppenrichtlinien

  1. WMI-Filter sparsam einsetzen:
    • Verwende WMI-Filter nur, wenn sie unbedingt erforderlich sind, da sie die Richtlinienverarbeitung verlangsamen können.
  2. Sicherheitsfilterung bevorzugen:
    • Nutze Sicherheitsfilterung, um GPOs gezielt auf Benutzer oder Gruppen anzuwenden.
  3. Vererbung und Erzwingen mit Bedacht einsetzen:
    • Blockiere Vererbung oder erzwinge GPOs nur, wenn es keine andere Möglichkeit gibt, um Konflikte zu vermeiden.
  4. Dokumentation:
    • Dokumentiere alle WMI-Filter, Sicherheitsfilter und erzwungenen GPOs, um die Richtlinienstruktur nachvollziehbar zu halten.
  5. Testumgebung verwenden:
    • Teste WMI-Filter und Sicherheitsfilterung in einer isolierten Umgebung, bevor sie in der Produktionsumgebung angewendet werden.
  6. Regelmäßige Überprüfung:
    • Überprüfe regelmäßig die Verknüpfungen, Filter und Einstellungen von GPOs, um sicherzustellen, dass sie noch relevant sind.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert