Gruppenrichtlinie einrichten

Um die Einstellung für eine Gruppenrichtlinie zu ändern, braucht man nur einen Doppelklick auf den jeweiligen Eintrag auszuführen. Im nächsten Fenster haben Sie die Auswahl zwischen folgenden Möglichkeiten:

  • Nicht konfiguriert: Bedeutet, dass die Gruppenrichtlinie nicht eingestellt ist. Es ist weder aktiviert, noch deaktiviert. Ganz so, als gäbe es die Richtlinie nicht.
  • Aktiviert: Mit dieser Einstellung wird die Gruppenrichtlinie aktiviert.
  • Deaktiviert: Die Gruppenrichtlinie wird explizit deaktiviert.
Gruppenrichtlinie
Einstellungen für die Gruppenrichtlinie

Gruppenrichtlinien aktualisieren

Normalerweise werden die Gruppenrichtlinien erst nach einem Neustart des Rechners aktualisiert. Man kann die Gruppenrichtlinien auch manuell aktualisieren, indem man gpupdate /force ausführt.

Gruppenrichtlinien aktualisieren
Gruppenrichtlinien ohne Neustart aktualisieren

Bei Domänenmitgliedern werden die Gruppenrichtlinien automatisch aktualisiert. Standardmäßig beträgt der Aktualisierungsintervall 90 Minuten, bei Domänencontrollern 5 Minuten.

Gültigkeit der Gruppenrichtlinie

Anwendungsfälle für Gruppenrichtlinien
Anwendungsfälle für Gruppenrichtlinien

Wenn ein Computer nicht in einer Domäne ist, dann gelten die Einstellungen der Gruppenrichtlinien, die lokal eingerichtet sind (Aktiviert, Deaktiviert, Nicht konfiguriert). Grundsätzlich macht es jedoch wenig Sinn, Gruppenrichtlinien auf dem lokalen Rechner einzurichten. In einer Domäne wäre es zu mühselig, die Gruppenrichtlinien auf allen Clients einzurichten und im privaten Bereich könnte man vielleicht einige Richtlinien einrichten, damit die Kinder bestimmte Dinge nicht dürfen, das wars dann aber auch.

Gruppenrichtlinien sind für den Einsatz in einer Domäne konzipiert und entfalten hier ihre Möglichkeiten. Man richtet die Gruppenrichtlinie domänenweit ein und alle Clients erhalten innerhalb der Domäne die Richtlinien, woran sie sich auch halten. Nun haben wir eine interessante Konstellation. Was soll geschehen, wenn beispielsweise auf dem lokalen Rechner eine Einstellung aktiviert und für die Domäne deaktiviert ist? Und es wird noch komplizierter. Man kann für eine OU, Unter-OU oder einen Standort eine Gruppenrichtlinie aktivieren, die für die Domäne deaktiviert ist.

Auf dem rechten Bild ist hierarchisch dargestellt, für welche fünf Anwendungsfälle Gruppenrichtlinien eingerichtet werden können. Das sind: Lokale Gruppenrichtlinien, Gruppenrichtlinien für die Domäne, für den Standort, für eine Organisationseinheit (OU) und für eine Unterorganisationseinheit (Unter-OU).

Überlagerung der Gruppenrichtlinien

Überlagerung der Gruppenrichtlinien
Die letzte Ebene überlagert alle vorherigen Ebenen

In den Fällen, in denen Gruppenrichtlinien an verschiedenen Stellen im Einsatz sind, spricht man von Überlagerung der Gruppenrichtlinien. Das bedeutet, die Ebenen überlagern andere Ebenen. Die Frage ist nun, welche Ebene von wem überlagert wird.

Beim Systemstart werden Gruppenrichtlinien in folgender Reihenfolge abgearbeitet.

  • Lokale Gruppenrichtlinien
  • Gruppenrichtlinien für die Domäne
  • Gruppenrichtlinien für den Standort
  • Gruppenrichtlinien für die Organisationseinheit
  • Gruppenrichtlinien für die Unter-Organisationseinheit

Grundsätzlich gilt, dass die letzte Ebene, in der eine Gruppenrichtlinie im Einsatz ist, die aktuelle Einstellung ist. Das bedeutet, dass die Gruppenrichtlinien für eine Unter-OU alle anderen Gruppenrichtlinien überlagern würden. Erst wenn die Richtlinie für die Unter-OU auf Nicht konfiguriert gesetzt wird, würden die Einstellungen der Organisationseinheit (OU) berücksichtigt werden. Wenn die Richtlinie für die (OU) ebenfalls auf Nicht konfiguriert gesetzt wurde, wären die Richtlinien für den Standort gültig. Wenn diese auch auf Nicht konfiguriert gesetzt ist, gelten die Gruppenrichtlinien für die Domäne. An letzter Stelle in der Hierarchie sind die lokalen Gruppenrichtlinien. Wenn diese auch nicht konfiguriert ist, dann ist eine Einstellung nicht konfiguriert.

Beispiel für eine Überlagerung

Der Benutzer Mike Müller befindet sich in der Organisationseinheit Vertrieb Nord. Für diese OU wurde die Gruppenrichtlinie Papierkorbsymbol vom Desktop entfernen auf Nicht konfiguriert eingestellt.

Für die Domäne, in der sich Mike Müller befindet, wurde die Gruppenrichtlinie aktiviert.

In den lokalen Gruppenrichtlinien wurde diese Einstellung deaktiviert.

Die Gruppenrichtlinie für die OU wurde nicht konfiguriert. Die Gruppenrichtlinie für die Domäne ist mächtiger als die lokale Gruppenrichtlinie. Daher gilt folgende Einstellung: Gruppenrichtlinie aktiviert.