Anwendung der Gruppenrichtlinien

Nicht alle Gruppenrichtlinien, die eingerichtet werden, können auch angewendet werden. Einerseits haben Administratoren viele Möglichkeiten, die Anwendung von Gruppenrichtlinien zu beeinflussen, andererseits entstehen auch Konflikte mit Gruppenrichtlinien, die eine Anwendung unmöglich machen. Es passiert nicht selten, dass zwischen den Gruppenrichtlinien Konflikte entstehen, z.B. befindet sich ein Mitarbeiter in einer Unter-OU. Diese erben die Gruppenrichtlinien von der höheren OU. In der OU kann eine Gruppenrichtlinie aktiviert, in der Unter-OU deaktiviert sein. Auf der Seite Gültigkeit der Gruppenrichtlinien wurde bereits gezeigt, dass die Gruppenrichtlinie der Unter-OU alles andere überlagern würde. Das ist so, weil die Einstellung gültig ist, die am nächsten zum Objekt steht. Und eine Unter-OU liegt näher am Objekt als eine OU oder Domäne.

Manche Einstellungen lassen sich sowohl in der Benutzerkonfiguration als auch innerhalb der Computerkonfiguration aktivieren oder deaktivieren. Als Beispiel kann man hier die Gruppenrichtlinie "Offline verfügbar machen" entfernen nennen. Auch dieser Konflikt muss gelöst werden. Hier gilt in der Regel, dass die Computerkonfiguration die gültige Einstellung ist und die Benutzerkonfiguration überlagert.

Der nächste Konflikt kann entstehen, wenn einer OU beispielsweise mehrere Gruppenrichtlinien zugewiesen wurden, die unterschiedliche Einstellungen haben. In unserem Beispiel wurden die OU Vertrieb Nord mit vier GPO's verknüpft, die zum Teil widersprüchlich eingestellt sind.

In solchen Fällen gilt die Regel, dass die Einstellung die oben steht gültig ist und die darunter liegende Einstellung überlagert.

Daher ist die Reihenfolge der Gruppenrichtlinien wichtig und kann über die Pfeile auf der linken Seite geändert werden.

Normalerweise werden Gruppenrichtlinien in die unteren Ebenen vererbt. Beispielsweise erbt die Unter-OU die Gruppenrichtlinien der übergeordneten OU. Manchmal kann eine Vererbung nicht erwünscht sein. In solchen Fällen kann die Richtlinienvererbung deaktiviert werden. Gehen Sie vorsichtig mit dieser Einstellung um. Der Unter-OU gehen dadurch unter Umständen wichtige Richtlinien verloren.

In den Fällen, wo die Vererbung ausgeschaltet ist, erben die untergeordneten Objekte nichts mehr von den übergeordneten Objekten. Das kann nachteilig sein, weil manche GPO's trotzdem vererbt werden müssen. Beispielsweise sollten die Default Domain Policy oder sicherheitsrelevante Gruppenrichtlinien für alle gelten. In solchen Fällen kann die Vererbung erzwungen werden.

In unserem Beispiel ist die Vererbung der OU Vertrieb deaktiviert, erkennbar am blauen Symbol mit Ausrufezeichen. Die Unter-OU Vertrieb Nord erbt trotzdem die Default Domain Policy, weil sie erzwungen ist. In der Liste ist sie als Erzwungen gekennzeichnet. Erzwungene Gruppenrichtlinien sind mit einem Schloss-Symbol gekennzeichnet. In früheren Versionen hießt die Option Kein Vorrang.

Eine weitere Möglichkeit die Anwendung von GPO's zu beeinflussen ist, den Objektstatus zu ändern. Neben der Möglichkeit, die GPO auf aktiv oder inaktiv zu setzen, kann hier die Benutzer- oder Computerkonfiguration deaktiviert werden. Das ist manchmal sinnvoll und auch nötig, wenn z.B. Einstellungen zwar für den Benutzer gelten sollen, nicht jedoch für den Computer. Eine Deaktivierung verschafft zusätzlich Geschwindigkeitsvorteile.

Um den Objektstatus zu ändern, markieren Sie die Gruppenrichtlinie. Auf der rechten Seite wechseln Sie in das Register Details.

Die "schärfste" Methode, die Anwendung von Gruppenrichtlinien zu beeinflussen ist, die Berechtigung zu ändern. Kenntnisse im Bereich der NTFS-Berechtigungen sollten hier vorhanden sein und es wird auch empfohlen, solche Schritte zu dokumentieren, weil später niemand mehr sagen kann, warum die Berechtigungen geändert wurden und wie die vorherigen Einstellungen waren.