Die Gruppenrichtlinien in Active Directory ermöglichen eine zentrale Verwaltung der Konfigurationseinstellungen von Windows. Zwar gibt es noch weitere Verwaltungslösungen wie den PowerShell-Dienst zum Konfigurieren des gewünschten Zustands und die Verwaltung mobiler Geräte, doch empfehlen sich Gruppenrichtlinien vor allem für in die Domäne eingebundene Client-Geräte, da sie eine detailliertere Kontrolle ermöglichen als andere Lösungen. Show
Ausgewählte verwandte Themen:
Die Gruppenrichtlinien-VerwaltungskonsoleDie Einstellungen von Gruppenrichtlinien werden in Gruppenrichtlinienobjekten (GPOs) konfiguriert. Sie können GPOs mit Domänen, Standorten und Organisationseinheiten verknüpfen. Um eine noch bessere Kontrolle zu erzielen, können Gruppenrichtlinienobjekte auf der Grundlage der Ergebnisse von WMI-Filtern (Windows Management Instrumentation) angewendet werden. WMI-Filter sollten jedoch sparsam verwendet werden, da sie die Richtlinienverarbeitung deutlich verlangsamen können. Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) ist ein integriertes Tool für die Verwaltung von Windows, mit dem Administratoren Gruppenrichtlinien in einer Active Directory-Gesamtstruktur verwalten und Daten für die Fehlerbehebung in Gruppenrichtlinien abrufen können. Die Gruppenrichtlinien-Verwaltungskonsole können Sie über das Menü „Tools“ im Microsoft Windows Server-Manager aufrufen. Da es nicht empfehlenswert ist, für routinemäßige Verwaltungsaufgaben die Domänencontroller zu verwenden, sollten Sie die Remoteserver-Verwaltungstools (RSAT) für Ihre Windows-Version installieren. Installation der Gruppenrichtlinien-VerwaltungskonsoleWenn Sie mit Windows 10 Version 1809 oder höher arbeiten, können Sie die Gruppenrichtlinien-Verwaltungskonsole über die Anwendung „Einstellungen“ installieren:
Abbildung 1: Installation der Gruppenrichtlinien-Verwaltungskonsole über die Einstellungen Wenn Sie mit einer älteren Windows-Version arbeiten, müssen Sie die richtige RSAT-Version von der Website von Microsoft herunterladen. Um sich die Arbeit zu erleichtern, können Sie auch den Server-Manager installieren. Falls Sie dies nicht möchten, können Sie die Gruppenrichtlinien-Verwaltungskonsole zur Microsoft Management Console (MMC) hinzufügen und die Konsole speichern. Ausgewählte verwandte Themen:
Verwenden der Gruppenrichtlinien-VerwaltungskonsoleIn jeder Active Directory-Domäne gibt es standardmäßig zwei Gruppenrichtlinienobjekte:
Sie können alle Gruppenrichtlinienobjekte in einer Domäne anzeigen, indem Sie auf den Container „Gruppenrichtlinienobjekte“ im linken Bereich der Gruppenrichtlinien-Verwaltungskonsole klicken. Abbildung 2: Oberfläche der Gruppenrichtlinien-Verwaltungskonsole Erstellen neuer GruppenrichtlinienobjekteNehmen Sie keine Änderungen an der Standarddomänencontroller-Richtlinie oder der Standarddomänen-Richtlinie vor. Um eigene Einstellungen hinzuzufügen, erstellen Sie am besten ein neues Gruppenrichtlinienobjekt. Es gibt zwei Methoden für die Erstellung von Gruppenrichtlinienobjekten:
Unabhängig davon, mit welcher Methode Sie das neue Gruppenrichtlinienobjekt erstellen, müssen Sie im Dialogfeld „Neues Gruppenrichtlinienobjekt“ einen Namen für das neue Objekt eingeben. Sie können außerdem festlegen, dass es auf einem vorhandenen Gruppenrichtlinienobjekt basieren soll. Die weiteren Optionen werden im nächsten Abschnitt ausführlicher erläutert. Bearbeiten von GruppenrichtlinienobjektenUm ein Gruppenrichtlinienobjekt zu bearbeiten, klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf das Objekt und wählen im Menü den Befehl „Bearbeiten“. Der Gruppenrichtlinienverwaltungs-Editor von Active Directory wird daraufhin in einem separaten Fenster geöffnet. Abbildung 3: Oberfläche des Gruppenrichtlinienverwaltungs-Editors Gruppenrichtlinienobjekte sind in Computereinstellungen und Benutzereinstellungen unterteilt. Computereinstellungen werden beim Starten von Windows angewendet, Benutzereinstellungen bei der Anmeldung eines Benutzers. Die Hintergrundverarbeitung von Gruppenrichtlinien wendet die Einstellungen regelmäßig an, wenn eine Änderung in einem Gruppenrichtlinienobjekt festgestellt wird. Richtlinien und Einstellungen im VergleichBenutzer- und Computereinstellungen untergliedern sich weiter in Richtlinien und Einstellungen:
Durch Aufklappen der Richtlinien oder Einstellungen können Sie die dazugehörigen Einstellungen konfigurieren. Diese Einstellungen werden dann auf die Computer- und Benutzerobjekte angewendet, die in den Bereich des Gruppenrichtlinienobjekts fallen. Wenn Sie beispielsweise ein neues Gruppenrichtlinienobjekt mit der Organisationseinheit des Domänencontrollers verknüpfen, werden die Einstellungen auf die Computer- und Benutzerobjekte in dieser Organisationseinheit und alle untergeordneten Organisationseinheiten angewendet. Mit der Einstellung „Vererbung deaktivieren“ für eine Website, Domäne oder Organisationseinheit können Sie festlegen, dass Gruppenrichtlinienobjekte für übergeordnete Objekte nicht auf untergeordnete Objekte angewendet werden. Sie können für einzelne Gruppenrichtlinienobjekte auch die Option „Erzwungen“ aktivieren. Damit wird die Einstellung „Vererbung deaktivieren“ außer Kraft gesetzt, sodass Konfigurationselemente in den Gruppenrichtlinienobjekten Vorrang haben. Rangfolge von GruppenrichtlinienobjektenSie können mehrere Gruppenrichtlinienobjekte mit Domänen, Websites und Organisationseinheiten verknüpfen. Wenn Sie in der Gruppenrichtlinien-Verwaltungskonsole auf eines dieser Objekte klicken, wird rechts auf der Registerkarte „Verknüpfte Gruppenrichtlinienobjekte“ eine Liste der verknüpften Gruppenrichtlinienobjekte angezeigt. Gibt es mehr als ein verknüpftes Gruppenrichtlinienobjekt, haben die Objekte mit einem höheren Rang in der Verknüpfungsreihenfolge Vorrang vor den Einstellungen von Gruppenrichtlinienobjekten mit einem niedrigeren Rang. Ausgewählte verwandte Themen:
Sie können die Verknüpfungsreihenfolge ändern, indem Sie auf ein Gruppenrichtlinienobjekt klicken und ihm mit den Pfeilschaltflächen links einen höheren bzw. niedrigeren Rang zuweisen. Auf der Registerkarte „Gruppenrichtlinienvererbung“ werden alle angewendeten Gruppenrichtlinienobjekte angezeigt, auch die Objekte, die von übergeordneten Objekten vererbt wurden. Abbildung 4: Informationen zu allen angewendeten Gruppenrichtlinienobjekten in der Gruppenrichtlinien-Verwaltungskonsole Erweiterte GruppenrichtlinienverwaltungDie Erweiterte Gruppenrichtlinienverwaltung ermöglicht eine genauere Steuerung von Gruppenrichtlinienobjekten als die Gruppenrichtlinien-Verwaltungskonsole. Neben einer Versionskontrolle stehen auch Funktionen zur Verfügung, mit denen Sie Gruppenrichtlinienadministratoren Rollen (z. B. Prüfer, Editor oder Genehmiger) zuweisen können. Auf diese Weise können Sie eine strenge Änderungskontrolle für den gesamten Lebenszyklus von Gruppenrichtlinienobjekten implementieren. Mit den Überwachungsfunktionen der Erweiterten Gruppenrichtlinienverwaltung profitieren Sie außerdem von besserem Einblick in Änderungen an Gruppenrichtlinien. Wo finde ich die Gruppenrichtlinien?Drücken Sie [Windows-Taste] und [R], um den Ausführen-Dialog öffnen. Geben Sie den Befehl „gpedit. msc“ ein und bestätigen Sie die Eingabe. Es öffnet sich nun eine Übersicht über die bislang geltenden Gruppenrichtlinien.
Wo finde ich den lokalen GruppenrichtlinienDer lokale Gruppenrichtlinien-Editor ist ein Microsoft Management Console (MMC) -Snap-in, das eine Benutzeroberfläche bietet, um lokale Gruppenrichtlinienobjekte (GPOs) zu verwalten.. Klicken Sie auf Start;. Geben Sie gpedit. msc ein;. Drücken Sie die Eingabetaste.. Wie kommt man in die Gruppenrichtlinien?Drücken Sie gleichzeitig auf die Tasten [Windows] und [R], sodass sich der Befehl "Ausführen" öffnet. Geben Sie hier "gpedit. msc" ein und bestätigen Sie mit "OK". Nun startet der Editor für lokale Gruppenrichtlinien.
Wo können Gruppenrichtlinien verwaltet werden?Gruppenrichtlinienobjekte können über das eigene Betriebssystem oder über Active Directory lokal auf einen Windows-Computer angewendet werden. Lokale Gruppenrichtlinien ermöglichen das Anwenden von Sicherheitseinstellungen entweder auf einzelne Computer, oder auf Computer, die ein Domänencontroller verwaltet.
|