Microsofts Group Policy Object (GPO) ist eine Sammlung von Gruppenrichtlinieneinstellungen, die definiert, wie ein System aussehen wird und wie es sich für eine definierte Gruppe von Benutzern verhält.
Microsoft stellt ein Programm-Snap-In bereit, mit dem Sie die Group Policy Management Console (GPMC) verwenden können. Die Auswahl führt zu einem Gruppenrichtlinienobjekt. Das GPO ist ausgewählten Active Directory-Containern wie Sites, Domänen oder Organisationseinheiten (OU) zugeordnet., Mit der GPMC können Sie ein GPO erstellen, das registrierungsbasierte Richtlinien, Sicherheitsoptionen, Optionen für die Softwareinstallation und-wartung, Skripte und Optionen für die Ordnerumleitung definiert.
GPOs-Typen
Es gibt drei Arten von GPOs: lokal, nicht lokal und Starter.
- Lokale Gruppenrichtlinienobjekte. Ein lokales Gruppenrichtlinienobjekt bezieht sich auf die Sammlung von Gruppenrichtlinieneinstellungen, die nur für den lokalen Computer und die Benutzer gelten, die sich an diesem Computer anmelden. Lokale GPOs werden verwendet, wenn Richtlinieneinstellungen auf einen einzelnen Windows-Computer oder-Benutzer angewendet werden müssen., Lokale GPOs sind standardmäßig auf allen Windows-Computern vorhanden.
- Nicht lokale Gruppenrichtlinienobjekte. Ein nicht lokales Gruppenrichtlinienobjektwird verwendet, wenn Richtlinieneinstellungen auf einen oder mehrere Windows-Computer oder-Benutzer angewendet werden müssen. Nicht lokale GPOs gelten für Windows-Computer oder Benutzer, sobald sie mit Active Directory-Objekten wie Sites, Domänen oder Organisationseinheiten verknüpft sind.
- > Gruppenrichtlinienobjekte. In Windows Server 2008 eingeführt, sind Starter-GPOs Vorlagen für Gruppenrichtlinieneinstellungen., Diese Objekte ermöglichen es einem Administrator, eine vorkonfigurierte Gruppe von Einstellungen zu erstellen, die eine Basis für die zukünftige Richtlinie darstellen.
Datensicherheit und Gruppenrichtlinienobjekt
Es gibt einige Gruppenrichtlinieneinstellungen, mit denen das Netzwerk eines Unternehmens gesichert werden kann. Beispielsweise kann eine Organisation über Gruppenrichtlinien Skripts ausführen, Benutzer daran hindern, auf bestimmte Ressourcen zuzugreifen, und einfache Aufgaben ausführen, z. B. das Öffnen einer bestimmten Startseite für jeden Netzwerkbenutzer erzwingen.,
Einige dieser Sicherheitsmaßnahmen umfassen:
- Einschränkung des Zugriffs auf das Bedienfeld – Über das Bedienfeld kann ein Unternehmen alle Aspekte eines Computers steuern. Die Begrenzung des Zugriffs auf einen Computer ermöglicht es Unternehmen, Daten und andere Ressourcen zu schützen.
- Deaktivieren der Eingabeaufforderung – Ein Unternehmen kann Eingabeaufforderungen verwenden, um Befehle auszuführen, die Benutzern auf hoher Ebene Zugriff gewähren und andere Systembeschränkungen umgehen. Deshalb ist es ratsam, die Eingabeaufforderung zu deaktivieren, um die Sicherheit der Systemressourcen zu gewährleisten., Wenn ein Benutzer versucht, ein Befehlsfenster zu öffnen, nachdem die Eingabeaufforderung deaktiviert wurde, zeigt das System eine Meldung an, dass einige Einstellungen dies verhindern.
- Verhindern von Softwareinstallationen — Wenn Benutzer Software installieren dürfen, können sie unerwünschte Anwendungen oder Malware installieren, die das System eines Unternehmens gefährden können. Daher ist es besser, Softwareinstallationen durch Gruppenrichtlinien zu verhindern.,
Vorteile von Gruppenrichtlinienobjekten
Neben der Sicherheit bietet die Implementierung von GPOs mehrere Vorteile, darunter:
- Effizientere Verwaltung-GPOs, die bereits vorhanden sind, gelten eine standardisierte Umgebung für alle neuen Benutzer und Computer, die der Domäne einer Organisation beitreten, was Zeit bei der Einrichtung spart.
- Einfache Verwaltung – Systemadministratoren können Software, Patches und andere Updates über GPO bereitstellen.,
- Bessere Durchsetzung von Kennwortrichtlinien-GPOs bestimmen die Kennwortlänge, Wiederverwendungsregeln und legen andere Anforderungen für Kennwörter fest, um das Netzwerk eines Unternehmens zu schützen.
- Konfigurieren der Ordnerumleitung — GPOs ermöglichen es Unternehmen, sicherzustellen, dass Benutzer wichtige Unternehmensdateien auf einem zentralen und überwachten Speichersystem aufbewahren. Beispielsweise kann eine Organisation den Ordner Dokumente eines Benutzers, der normalerweise auf einem lokalen Laufwerk gespeichert ist, an einen Netzwerkspeicherort umleiten.,
Einschränkungen von GPOs
Zu den Einschränkungen von Gruppenrichtlinienobjekten gehören:
- Sie werden nacheinander ausgeführt — GPOs-Prozessaktionen nacheinander. Wenn daher viele GPOs konfiguriert werden müssen, kann es lange dauern, bis sich Benutzer anmelden.
- Die Flexibilität ist begrenzt – GPOs können nur auf Benutzer oder Computer angewendet werden. Sie sind also begrenzt, wenn es darum geht, Einstellungen basierend auf dem Kontext anzuwenden.
- Begrenzte Trigger — GPOs können nur beim Computerstart angewendet werden, wenn sich ein Benutzer anmeldet oder in festgelegten Intervallen., GPOs können nicht auf Änderungen in der Umgebung reagieren, z. B. die Netzwerkverbindung trennen oder eine erneute Verbindung herstellen.
- Schwer zu pflegen – Es gibt keine integrierte Such – oder Filteroption, um eine bestimmte Einstellung in einem GPO zu finden, was es schwierig macht, Probleme mit vorhandenen Einstellungen zu finden oder zu beheben.
- Keine Versionskontrolle – Änderungen an den GPO-Einstellungen werden nicht geprüft. Wenn also eine falsche Änderung vorgenommen wird, ist es unmöglich zu sagen, was die Änderung war oder wer sie vorgenommen hat.
Verarbeitungsreihenfolge von GPOs
Die Verarbeitungsreihenfolge von Gruppenrichtlinien beeinflusst, welche Einstellungen auf den Computer oder Endbenutzer angewendet werden., Diese Verarbeitungsreihenfolge wird als LSDOU bezeichnet: lokal, Site, Domain, Organisationseinheit. Zuerst wird die lokale Computerrichtlinie verarbeitet, gefolgt von Active Directory-Richtlinien von Site-Ebene zu Domain, dann zu OU (GPOs in verschachtelten Organisationseinheiten werden zuerst von der OU angewendet, die dem Stamm am nächsten ist, und von dort aus fortgesetzt). Bei Konflikten wird die zuletzt angewendete Richtlinie wirksam.
Beispiele für GPOs
Im Folgenden finden Sie Beispiele für Gruppenrichtlinienobjekte:
- Ein GPO kann die Startseite angeben, die zum ersten Mal angezeigt wird, wenn ein Benutzer den Internet Explorer startet., Wenn sich der Benutzer bei der Domäne anmeldet, wird dieses Gruppenrichtlinienobjekt abgerufen und auf die Konfiguration des Internet Explorers des Benutzers angewendet.
- Eine Organisation kann freigegebene Netzwerkdruckerverbindungen mithilfe von Gruppenrichtlinien für Benutzer aus einer bestimmten Active Directory-OU bereitstellen. Wenn sich ein Benutzer bei Windows anmeldet, wird automatisch ein zugewiesener Netzwerkdrucker in der Liste der verfügbaren Drucker angezeigt.,
- Administratoren können eine Gruppenrichtlinie verwenden, um Einstellungen anzupassen, z. B. Computeranzeigen für einen bestimmten Zeitraum auszuschalten, Standardprogramme auszuwählen und Benutzer daran zu hindern, Internetverbindungsoptionen zu ändern.
Best Practices
Einige Best Practices für GPOs umfassen:
- Erstellen Sie eine gut gestaltete Organisationseinheitsstruktur in Active Directory, um die Anwendung und Fehlerbehebung bei Gruppenrichtlinien zu vereinfachen.
- Geben Sie GPOs beschreibende Namen an, damit Administratoren schnell erkennen können, was jeder GPO tut.,
- Fügen Sie jedem GPO Kommentare hinzu, in denen erklärt wird, warum es erstellt wurde, welchen Zweck es hat und welche Einstellungen es hat.
- Legen Sie GPOs nicht auf Domänenebene fest, da sie auf alle Computer-und Benutzerobjekte angewendet werden. Dies kann dazu führen, dass einige Einstellungen unnötigerweise auf einige Objekte angewendet werden.
- Verwenden Sie die Stammcomputer oder Benutzerordner in Active Directory nicht, da sie keine Organisationseinheiten sind und keine GPOs mit ihnen verknüpft werden können. Wenn ein neuer Benutzer oder ein neues Computerobjekt in diesen Ordnern angezeigt wird, sollte es an die entsprechende OU gesendet werden.
- Deaktivieren Sie kein GPO., Löschen Sie den Link vielmehr aus einer OU, anstatt den GPO zu deaktivieren, wenn er nicht angewendet werden soll. Durch Deaktivieren des GPO wird verhindert, dass es vollständig auf die Domäne angewendet wird. Das könnte ein Problem sein, denn wenn diese bestimmte Gruppenrichtlinie in einer anderen OU verwendet wird, funktioniert sie dort nicht mehr.