Gruppenrichtlinien

Mit Gruppenrichtlinien können Administratoren viele Einstellungen vorgeben, Programme und Scripte ausführen lassen und viele weitere Dinge mehr. Das bedeutet, dass man z.B. festlegen kann, dass auf allen Computern in einer Domäne beim Anmelden ein Script ausgeführt wird. Oder man kann bestimmen, dass die Benutzer ihre Kennwörter alle 90 Tage ändern müssen. All diese Dinge werde über Gruppenrichtlinien gesteuert. Oft wird dafür der englische Begriff Group Policies (GPO) verwendet.

Auf dem Bild sehen wir ein Beispiel. Wir haben den Gruppenrichtlinien Editor für den lokalen Computer geöffnet und befinden uns unter dem Baumeintrag Desktop. Man könnte z.B. die Option Keine Änderungen zulassen aktivieren und niemand könnte Änderungen am Desktop vornehmen.

Gruppenrichtlinien sind sehr komplex und für den Administrator eine sehr große Hilfe zugleich. Es gibt tausende Einstellungsmöglichkeiten und man könnte dicke Bänder zu dem Thema füllen.

Gruppenrichtlinien
Gruppenrichtlinien

Gruppenrichtlinien für Domäne, lokale Gruppenrichtlinien

Lokale Gruppenrichtlinien
Lokale Gruppenrichtlinien über gpedit.msc

Es wird grundsätzlich zwischen domänenweiten Gruppenrichtlinien und lokalen Gruppenrichtlinien unterschieden. Lokale Gruppenrichtlinien werden auf dem lokalen Rechner definiert und angewendet. Wenn in einem Unternehmen mehrere Hundert Computer im Einsatz sind, wäre es ziemlich mühselig, alle Gruppenrichtlinien auf allen Computern zu aktualisieren. Zum Glück gibt es die Möglichkeit, Gruppenrichtlinien domänenweit anzuwenden. Man erstellt Gruppenrichtlinien für eine Domäne und alle Clients in der Domäne müssen sich daran halten.

Die Gruppenrichtlinien werden über den Gruppenrichtlinien-Objekteditor bearbeitet. Den Editor rufen Sie über gpedit.msc auf. Um die Gruppenrichtlinien für einen Domäne zu ändern, fügen Sie in Ihre MMC über die Microsoft Management Console das Snap-In Gruppenrichtlinienverwaltungs-Editor hinzu. Beim Einfügen des Snap-Ins müssen Sie noch angeben, welche Richtlinie bearbeitet werden soll.

Der Aufbau der Gruppenrichtlinien ist sowohl für lokale Computer als auch im Active Directory gleich. Die Einstellungen sind wie im Explorer angeordnet und unterteilen sich zwei Hauptkategorien. Computerkonfiguration und Benutzerkonfiguration. Beide Hauptkategorien verzweigen wiederum in weitere Unterkategorien. Bei den lokalen Gruppenrichtlinien in Softwareeinstellungen, Windows-Einstellungen und Administrative Vorlagen.

Computerkonfiguration und Benutzerkonfiguration

Computerkonfiguration Benutzerkonfiguration
Unterscheidung zwischen Computerkonfiguration und Benutzerkonfiguration

Auch wenn diese beiden Bereiche fast identisch sind, gibt es unterschiedliche Einstellungsmöglichkeiten.

Softwareeinstellungen:
In beiden Bereichen vorhanden und anwendbar.

Namensauflösungsrichtlinie:
Nur unter Computerkonfiguration vorhanden.

Scripts (Starten/Herunterfahren):
Nur unter Computerkonfiguration.

Scripts (Anmelden/Abmelden):
Nur unter Benutzerkonfiguration.

Sicherheitseinstellungen
Bereitgestellte Drucker
Richtlinienbasierter QoS:
In beiden Bereichen vorhanden.

Internet Explorer-Wartung:
Nur unter Benutzerkonfiguration.

Drucker:
Nur Computerkonfiguration.

Freigegebener Ordner
Startmenü und Taskleiste:
Nur Benutzerkonfiguration.

Netzwerk
System
Systemsteuerung
Windows-Komponenten
Alle Einstellungen:
In beiden Bereichen verfügbar.

Die Unterteilung in Computerkonfiguration und Benutzerkonfiguration macht auch Sinn. Denn einige Einstellungen sind für Computer relevant, andere wiederum für Benutzer. Beispielsweise gehört der Desktop zum Profil des Benutzers. Daher wird kein Eintrag unter Computerkonfiguration benötigt. Software kann dagegen für einen Benutzer als auch für einen Computer bereitgestellt werden. Daher ist diese Kategorie in beiden Bereichen vorhanden.