Mehr Windows-Sicherheit mit Gruppenrichtlinien
USB-Sticks sperren, die Installation von Software verbieten, den Start bestimmter Programme verhindern oder eine feste Desktop-Oberfläche definieren: Wer Windows-Nutzern genau vorschreiben will, was erlaubt und was verboten ist, erledigt das am einfachsten über Gruppenrichtlinien.
- Mehr Windows-Sicherheit mit Gruppenrichtlinien
- Active Directory-GPO
- Systemrichtlinien
- Gruppenrichtlinien im Überblick
- Desktop-Konfiguration
Vereinfacht gesagt handelt es sich dabei um ein Sammelsurium verschiedenster Konfigurationseinstellungen, mit denen Benutzer und Rechner zentral verwaltet werden. Mit den Windows-Helfern lassen sich User-Rechte anpassen, Updates und Software über das Netzwerk verteilen und Einstellungen für Datens...
Vereinfacht gesagt handelt es sich dabei um ein Sammelsurium verschiedenster Konfigurationseinstellungen, mit denen Benutzer und Rechner zentral verwaltet werden. Mit den Windows-Helfern lassen sich User-Rechte anpassen, Updates und Software über das Netzwerk verteilen und Einstellungen für Datensicherheit und Datenschutz treffen.
Für Administratoren sind Gruppenrichtlinien daher eines der wichtigsten Instrumente für die User- und Rechner-Verwaltung in einem Unternehmen. Außerdem unterstützen alle aktuellen Windows- und Office-Versionen die Gruppenrichtlinien.
3000 Gruppenrichtlinien
Den größten Fundus an Einstellmöglichkeiten bringen die neuesten Betriebssystem-Versionen mit. Bei Windows 7 Professional, Ultimate und Enterprise sowie Windows Server 2008 stehen rund 3000 Gruppenrichtlinien zur Auswahl, bei Windows Vista etwa 2500 Richtlinien. Eine Übersicht aller verfügbaren Richtlinien bietet Microsoft auf seiner Webseite als Excel-Datei zum Download an.
Angesichts ihres riesigen Umfangs sind die Gruppenrichtlinien jedoch nur schwer überschaubar. Außerdem ist die Materie nicht ganz leicht zu durchschauen. Im Zusammenhang mit Gruppenrichtlinien tauchen früher oder später zwangsläufig sperrige Begriffe wie Gruppenrichtlinienobjekt, Gruppenrichtlinienverknüpfung, Gruppenrichtliniencontainer oder Gruppenrichtlinienvorlage auf.
Begriffswirrwarr entschlüsselt
Der mit Abstand am häufigsten in Zusammenhang mit Gruppenrichtlinien verwendete Begriff ist das Gruppenrichtlinienobjekt (GPO). Windows legt eine Sammlung von Gruppenrichtlinien immer in einem Gruppenrichtlinienobjekt ab. Jeder darin enthaltenen Richtlinie können Sie einen bestimmten Wert zuweisen, der dann für einen Benutzer oder Computer gilt. Die Richtlinien lassen sich je nach Bedarf auch deaktivieren.
Gruppenrichtlinienobjekte unterteilen sich in zwei Kategorien: Zur ersten gehört das lokale Gruppenrichtlinienobjekt, das nur lokal auf einem Rechner gespeichert wird und dessen Vorgaben nur für Benutzer gelten, die sich an diesem System anmelden. Kategorie Nummer zwei bildet das Active Directory-basierte Gruppenrichtlinienobjekt.
Dieses wird nicht lokal, sondern im Microsoft-Verzeichnisdienst Active Directory auf Domänenebene gespeichert. Ein lokales GPO gibt es nur einmal, dagegen können Administratoren beliebig viele Active Directory-GPOs anlegen.
Active Directory-basierte Gruppenrichtlinienobjekte lassen sich nicht direkt von einem Client aus, sondern nur über eine Active Directory-Domäne unter Windows Server einsetzen. Eine lokale Gruppenrichtlinie können Sie dagegen jederzeit einrichten, wenn Sie über Administratorrechte verfügen.
Sobald ein Gruppenrichtlinienobjekt (GPO) für einen Benutzer oder Rechner implementiert ist, erhält es einen Gruppenrichtliniencontainer (GPC) und eine Gruppenrichtlinienvorlage (GPT). Der Container enthält Informationen über alle GPO-Eigenschaften, die sich nicht häufig ändern, zum Beispiel die aktuelle Version oder den Status der Richtlinie (aktiviert oder deaktiviert).
In der Gruppenrichtlinienvorlage sind alle Einstellungen für die Richtlinie gespeichert, also etwa Skripte oder Sicherheitseinstellungen. Diese Werte ändern sich im Gegensatz zu den GPC-Infos häufiger.
