Richtige Priorisierung von Group Policy Object

Gruppenrichtlinie ist die Konfigurationsmanagement-Technologie, die in Microsoft Windows Server Active Directory enthalten ist. Wenn Sie eine granulare Kontrolle der Windows- und Windows Server-Einstellungen benötigen, ist Gruppenrichtlinie die bevorzugte Lösung. Aber Gruppenrichtlinie kann schnell kompliziert werden, da jedes Group Policy object (GPO) Hunderte von Einstellungen für Benutzer und Computer haben kann, und mehrere GPOs mit möglicherweise widersprüchlichen Einstellungen können mit einer gegebenen Active Directory-Site, Domäne oder Organisationseinheit (OU) verknüpft sein.

In diesem Artikel erklären wir, wie Sie die Vorrangstellung von Gruppenrichtlinien bestimmen können, damit Sie die Gruppenrichtlinie korrekt anwenden und sicherstellen, dass die erforderlichen Sicherheitsrichtlinien durchgesetzt werden.

Lokale Richtlinie

Bevor wir über Gruppenrichtlinien sprechen, die Systemadministratoren die Möglichkeit geben, Windows-Einstellungen zentral zu verwalten, ist es wissenswert, dass alle Windows-Geräte eine lokale Richtlinie haben. Lokale Richtlinien werden immer von den Einstellungen in Gruppenrichtlinienobjekten überschrieben. Daher sollten lokale Richtlinien im Allgemeinen nur verwendet werden, um Einstellungen für Geräte zu konfigurieren, die nicht in eine Active Directory-Domäne eingebunden sind.

Active Directory Gruppenrichtlinie

Gruppenrichtlinienobjekte müssen mit einer Active Directory-Site, einer Domäne oder einer OU verknüpft werden, bevor sie auf Computer und Benutzer angewendet werden. GPOs werden auf das Objekt, mit dem sie verknüpft sind, und alle seine untergeordneten Objekte angewendet. Wenn beispielsweise ein GPO mit einer Site verknüpft ist, gilt es auch für Objekte in den Domänen und OUs dieser Site. Mit einer Organisationseinheit verknüpfte GPOs gelten für alle Objekte in dieser OU und alle untergeordneten OUs.

Um GPOs anzuzeigen oder zu bearbeiten, verwenden Sie die Group Policy Management-Konsole (GPMC) im Werkzeugmenü des Server-Managers. Gruppenrichtlinienobjekt-Einstellungen sind ähnlich wie lokale Richtlinien organisiert, aber eine zusätzliche Kategorie, genannt Gruppenrichtlinienpräferenzen, bietet zusätzliche Einstellungen, die es Administratoren ermöglichen, die Umgebungen der Benutzer anzupassen.

Anwenden von Gruppenrichtlinien auf Websites

Wenn Sie eine GPO mit einer Site verknüpfen, werden deren Einstellungen auf alle Objekte in dieser Site angewendet; man sagt, die Objekte fallen in den Geltungsbereich der GPO. Mehr als eine GPO kann mit einer gegebenen Site verknüpft werden, und diese GPOs könnten widersprüchliche Einstellungen haben. In diesem Fall müssen Sie verstehen, welche Einstellungen angewendet werden. Zum Beispiel, wenn dieselbe Einstellung in zwei oder mehr GPOs, die alle mit einer gegebenen Site verknüpft sind, unterschiedlich konfiguriert ist, welche GPO hat Vorrang? Die Antwort ist die GPO mit der kleinsten Link Order-Nummer. Link Order-Nummern zeigen die Vorrangstellung der Gruppenrichtlinie und bestimmen die Verarbeitungsreihenfolge der Gruppenrichtlinie.

Um die Link Order-Nummer von GPOs für eine Site zu sehen, öffnen Sie GPMC und erweitern Sie Ihre Active Directory-Domäne. Gehen Sie dann wie folgt vor:

Schritt #1. Klicken Sie mit der rechten Maustaste auf Sites und klicken Sie auf Sites anzeigen…

Schritt #2. Im Dialogfeld 'Sites anzeigen' markieren Sie die Sites, die Sie in GPMC sehen möchten, und klicken Sie auf OK.

Schritt #3. Erweitern Sie Sites in GPMC. Sie werden alle Sites sehen, die Sie in Active Directory konfiguriert haben. Die Standard-Site heißt Default-First-Site-Name, obwohl es möglich ist, sie umzubenennen.

Schritt #4. Klicken Sie auf eine der Seiten.

Abbildung 1. Überprüfung der Link-Reihenfolge.

Schritt #5. Unter dem Tab „Linked Group Policy Objects“ sehen Sie eine Liste von GPOs, die mit der Website verknüpft sind. Es kann sein, dass keine GPOs verknüpft sind. Falls verknüpfte GPOs vorhanden sind, sehen Sie deren Verknüpfungsreihenfolge, welche die Priorität angibt. Je höher die Zahl, desto geringer ist die Priorität des GPO. Zum Beispiel haben die Einstellungen in einem GPO mit einer Verknüpfungsreihenfolge von 2 immer Vorrang vor den Einstellungen in einem GPO mit einer Verknüpfungsreihenfolge von 3.

Schritt #6. Um die Link Order-Nummer eines GPO zu ändern, klicken Sie auf das GPO und verwenden Sie die Pfeile nach oben und unten auf der linken Seite, um es an die gewünschte Position in der Liste zu verschieben.

Anwendung von Gruppenrichtlinien auf Domänen und Organisationseinheiten

GPOs können auf dieselbe Weise mit Domänen und OUs verknüpft werden, wie sie mit Sites verknüpft werden können. Die Standarddomänenrichtlinie ist standardmäßig mit jeder Domäne verknüpft. GPOs, die mit Organisationseinheiten verknüpft sind, haben die höchste Priorität, gefolgt von denen, die mit Domänen verknüpft sind. GPOs, die mit Sites verknüpft sind, haben immer die geringste Priorität.

Um zu verstehen, welche GPOs mit einer Domäne oder OU verknüpft sind, klicken Sie in der GPMC auf die Domäne oder OU und wählen Sie die Registerkarte „Linked Group Policy Objects“. Für eine umfassendere Ansicht wählen Sie die Registerkarte „Group Policy Inheritance“, die auch die mit übergeordneten Domänen und OUs verknüpften GPOs anzeigt. GPOs mit einer kleineren Präzedenzzahl werden zuletzt verarbeitet und haben Vorrang vor GPOs mit höheren Zahlen.

Abbildung 2. Überprüfung der GPO-Reihenfolge für mit einer Domäne oder OU verknüpfte GPOs.

Vergessen Sie nicht, dass mit Standorten verknüpfte GPOs auch auf die untergeordneten Objekte des Standorts angewendet werden und Teil der Verarbeitungsreihenfolge sind. GPOs, die mit Standorten verknüpft sind, werden jedoch nicht im Registerkarte 'Gruppenrichtlinienvererbung' angezeigt, da GPMC nicht weiß, welche Benutzer- und Computerobjekte sich zu einem bestimmten Zeitpunkt in einer AD-Standort befinden.