Group Policy Object

Ein Group Policy Object (GPO), deutsch Gruppenrichtlinienobjekt, ist unter Microsoft Windows eine digitale Richtlinie für verschiedene Einstellungen.

In diesem Zusammenhang ist eine Group Policy eine auf bestimmte Gruppen oder Arten von Einstellungen begrenzte System Policy.[1] Eine solche Gruppenrichtlinie nennt man auch Gruppenrichtlinienobjekt.[2] Die Sicherheitseinstellungen steuern u. a. Benutzer-Authentifizierung bei einem (Firmen-)Netzwerk oder Gerät, den Zugriff auf Ressourcen für Benutzer sowie deren Mitgliedschaft in Gruppen.[3]

Verwendung

Seit Microsoft Windows 2000 Server können Gruppenrichtlinien über die Gruppenrichtlinienverwaltung erstellt und konfiguriert werden. Die Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC) ist ein Snap-In, das eine erweiterte und verbesserte Konfiguration von Gruppenrichtlinien erlaubt, allerdings zuerst lokal auf dem Computer installiert werden muss (auf Domänencontrollern mit Benutzeroberfläche wird sie stets mitinstalliert). Danach ist sie als eigenständiges Snap-In auch auf Clientbetriebssystemen nutzbar. Allerdings erfordert die GPMC zumindest Windows XP oder Windows Server 2003, unter Windows 2000 ist sie nicht lauffähig. Die Domäne kann aber auf Windows 2000-Level sein.[4]

Abgesehen von Standard-Konfigurationen können auch eigene Konfigurationsmöglichkeiten per Administrativer Vorlage, d. h. Dateien mit dem Suffix *.adm (bis Windows XP) bzw. *.admx (seit Windows Vista), genutzt werden. Eine sofortige Aktualisierung kann mit dem Befehl gpupdate.exe /force oder ab Windows 8 oder Server 2012 über die GPMC erzwungen werden.

Einschränkungen unterschiedlicher Richtlinien

Gruppenrichtlinien können mit verschiedenen Objekten verknüpft werden:

  • Site (Standort)
  • Domain (Domäne)
  • OU (Organizational Unit, Organisationseinheit)

Zusätzlich gibt es bei jedem Computer immer eine lokale Richtlinie.

Zu beachten ist, dass Gruppenrichtlinien nicht auf Gruppen wirken, sondern auf die darin enthaltenen Computer- und Benutzerkonten. GPO enthalten für Benutzer und Computer getrennte Einstellungen. Die Verarbeitungsreihenfolge von Gruppenrichtlinien ist Local, Site, Domain, OU. Jede spätere Verarbeitung überschreibt bei konkurrierenden Einstellungen die Werte der vorher verarbeiteten Richtlinie. Somit haben die Einstellungen in der lokalen Richtlinie die niedrigste Priorität, da sie zuerst verarbeitet wird und die Richtlinie auf der OU hat die höchste Priorität, da sie als letztes verarbeitet wird. Sind GPO auf derselben Ebene verknüpft, entscheidet die Verknüpfungsreihenfolge, wobei die GPO mit dem niedrigsten Wert gewinnt, da sie zuletzt verarbeitet wird.

Local GPO

In Local (Lokal) setzt man Richtlinien für einen einzigen Computer. Ist ein Computer nicht Mitglied einer Domäne, ist die lokale Richtlinie die einzige Möglichkeit, Richtlinien zu nutzen.

Active-Directory-Standorte

Active-Directory-Standorte (engl. Active Directory Sites) definieren sich über die zugeordneten IP-Subnetze oder IPv6-Präfixe. Beispielsweise hat eine große Firma vielleicht einen Sitz in Deutschland, Japan, Korea etc. Nun soll in Japan alles auf die Japaner zugeschnitten werden: Alles auf japanisch etc. Durch Sites können Gebiete abgegrenzt und dann die Richtlinien nach diesem Gebiet gesetzt werden. Ein Hauptgrund für die Einrichtung eines Standortes ist auch die Steuerung des Replikationsverkehrs.

Active-Directory-Domänen

Auf Ebene der Domäne werden Richtlinien für die gesamte Domain festgelegt. Standardmäßig existiert eine Default Domain Policy (DDP), in der insb. Sicherheitseinstellungen definiert sind. Diese sollte möglichst wenig verändert werden. Stattdessen sollten neue GPO auf Ebene der Domäne verlinkt werden. Die DDP kann mit dem Befehl dcgpofix.exe in den Ausgangszustand zurückgesetzt werden.

Active-Directory-Domänencontroller

Auf Ebene der OU Domain Controllers werden Richtlinien für die Domänencontroller festgelegt. Standardmäßig existiert eine Default Domain Controllers Policy (DDCP), in der insb. Sicherheitseinstellungen für die Domänencontroller definiert sind. Diese sollte wie die DDP möglichst wenig verändert werden. Die DDCP kann ebenfalls mit dem Befehl dcgpofix.exe in den Ausgangszustand zurückgesetzt werden.

Sicherheitsfilter

Jede GPO kann durch Sicherheitsfiltern an Sicherheitsgruppen gebunden werden. Standardmäßig wird die Anwendung aller GPO für die Gruppe Authentifizierte Benutzer erlaubt. Dies umfasst sowohl authentifizierte Benutzerkonten als auch Computerkonten. Über die Sicherheitsgruppenfilterung kann die Anwendung bestimmter GPO sowohl erlaubt als auch verboten werden.

WMI-Filter

Jede GPO kann seit Windows XP bzw. Server 2003 mit einem WMI-Filter (engl. Windows Management Instrumentation, deu. Windows Verwaltungsinstrumentation) verknüpft werden. Dadurch kann dynamisch während der Verarbeitung auf Zustände des die GPO anwendenden Objekts reagiert werden. Somit kann z. B. die Anwendung bestimmter GPO an die Version des Betriebssystems oder andere Parameter gebunden werden.

Werkzeuge

Gruppenrichtlinienverwaltungskonsole

Verwaltungskonsole zur Erstellung und Verknüpfung von Gruppenrichtlinien

Gruppenrichtlinieneditor

Verwaltungskonsole zur Bearbeitung der Einstellungen von Gruppenrichtlinienobjekten.

Advanced Group Policy Management

Erweiterte Verwaltungskonsole zur Bearbeitung von Gruppenrichtlinien mit Änderungssteuerung, Versionsverwaltung, Freigabeverfahren usw. Bestandteil des Microsoft Desktop Optimization Pack (MDOP).

Microsoft Security Configuration Manager (SCM)

Inzwischen veraltetes Werkzeug für den Import, Export, Zusammenführen und Vergleich von Gruppenrichtlinien.

Microsoft Security Compliance Toolkit

Das Security Compliance Toolkit (SCT) beinhaltet von Microsoft empfohlene Baselines zur Konfiguration von Windows 10, Windows Server 2012 R2, Windows Server 2016 und Office 2016. Im SCT enthalten sind die Werkzeuge Policy Analyzer zum Vergleich mehrerer Gruppenrichtlinienobjekte oder gegen das resultierende Gruppenrichtlinienergebnis auf einem Computer. Zu Dokumentationszwecken lassen sich die Ergebnisse in Excel exportieren.[5]

Einzelnachweise

  1. Windows NT 4.0 system policies. (Nicht mehr online verfügbar.) Microsoft; ehemals im Original;Vorlage:Cite web/temporär
  2. Bearbeiten von mehrfachen lokalen Gruppenrichtlinien. Microsoft;
  3. Sicherheitsrichtlinieneinstellungen. Abgerufen am 5. April 2022.
  4. Group Policy Management Console with Service Pack 1. Abgerufen am 16. Oktober 2020 (amerikanisches Englisch).
  5. Microsoft Security Compliance Toolkit 1.0. Microsoft, 26. November 2018, abgerufen am 25. April 2019 (englisch).