Definieren von GPOs

  • 7 Minuten

Seit den frühen Versionen von Windows Server hat das Gruppenrichtlinien-Feature von Windows-Betriebssystemen eine Infrastruktur bereitgestellt, mit der Administratoren Einstellungen zentral definieren und dann auf den Computern in ihren Organisationen bereitstellen können.

So kann das IT-Team von Contoso die gesamte Konfiguration mithilfe von GPO-Einstellungen definieren, durchsetzen und aktualisieren. Über die GPO-Einstellungen können sie einen ganzen Standort oder eine ganze Domäne innerhalb der Organisation beeinflussen oder den Fokus auf eine einzelne Organisationseinheit einschränken.

Tipp

Durch Filterung basierend auf der Zugehörigkeit zu Sicherheitsgruppen und den Attributen für physische Computer kann Contoso das Ziel für die GPO-Einstellungen noch weiter verfeinern.

Was ist eine Gruppenrichtlinie?

Bei Gruppenrichtlinien handelt es sich um ein Framework in Windows-Betriebssystemen mit Komponenten, die sich in AD DS, Domänencontrollern und auf den einzelnen Windows-Servern und -Clients befinden. Mit diesen Komponenten können Sie die Konfiguration in einer AD DS Domäne verwalten. Sie definieren Gruppenrichtlinieneinstellungen in einem GPO. Bei einem GPO handelt es sich um ein Objekt, das eine oder mehrere Richtlinieneinstellungen enthält, die für eine oder mehrere Konfigurationseinstellungen eines Benutzers oder Computers gelten.

A screenshot of the Group Policy Management console. The administrator has selected the Contoso.com domain. Displayed are three GPOs. Also displayed are the OUs in the domain, some of which have linked GPOs.

Gruppenrichtlinien sind ein leistungsfähiges Verwaltungstool. Mithilfe von GPOs können Sie verschiedene Einstellungen auf eine Vielzahl von Benutzern und Computern übertragen. Da Sie die Gruppenrichtlinienobjekte auf unterschiedlichen Ebenen, vom lokalen Computer bis zur Domäne, anwenden können, können Sie diese Einstellungen präzise festlegen. Gruppenrichtlinien werden hauptsächlich zum Konfigurieren von Einstellungen verwendet, die Benutzer nicht konfigurieren sollen. Darüber hinaus können Sie mit Gruppenrichtlinien Desktopumgebungen auf allen Computern in einer Organisationseinheit oder in einer ganzen Organisation standardisieren. Außerdem können Sie Gruppenrichtlinien verwenden, um die Sicherheit zu erhöhen und erweiterte Systemeinstellungen zu konfigurieren, sowie für andere Zwecke verwenden, die in einer nachfolgenden Lerneinheit erläutert werden.

A screenshot of the Group Policy Management Editor. The administrator has expanded the Computer Configuration and User Configuration nodes to display the Policies and Preferences folders.

Was sind GPOs?

Die differenzierteste Komponente einer Gruppenrichtlinie ist eine einzelne Richtlinieneinstellung. Eine einzelne Richtlinieneinstellung definiert eine bestimmte Konfiguration, z. B. eine Richtlinieneinstellung, die verhindert, dass ein Benutzer auf Tools für die Bearbeitung der Registrierung zugreifen kann. Wenn Sie diese Richtlinieneinstellung definieren und dann auf einen Benutzer anwenden, kann dieser Benutzer keine Tools wie "Regedit.exe" ausführen.

Einige Einstellungen, sogenannte Benutzerkonfigurationseinstellungen oder Benutzerrichtlinien, wirken sich auf einen Benutzer aus. Andere Einstellungen, sogenannte Computerkonfigurationseinstellungen oder Computerrichtlinien, wirken sich auf Computer aus.

Wichtig

Einstellungen wirken sich nicht direkt auf Gruppen aus und gelten nur für Benutzer- und Computerobjekte.

Mit Gruppenrichtlinien werden verschiedene Richtlinieneinstellungen verwaltet und das Gruppenrichtlinien-Framework ist erweiterbar. Sie können nahezu jede konfigurierbare Einstellung mit Gruppenrichtlinien verwalten.

A screenshot of the Configure Automatic Updates dialog box in the Group Policy Management Editor. The setting is enabled. Other values are displayed.

So definieren Sie eine Richtlinieneinstellung:

  1. Suchen Sie im Gruppenrichtlinienverwaltungs-Editor die Richtlinieneinstellung, und drücken Sie dann die EINGABETASTE. Das Dialogfeld Eigenschaften für die Richtlinieneinstellung wird angezeigt.
  2. Ändern Sie den Richtlinienstatus in Aktiviert oder Deaktiviert. Die meisten Richtlinieneinstellungen können drei Status aufweisen: "Nicht konfiguriert", "Aktiviert" und "Deaktiviert".
  3. Konfigurieren Sie bei Bedarf weitere Werte, und klicken Sie danach auf OK.

GPOs speichern Gruppenrichtlinieneinstellungen. In einem neuen GPO weist jede Richtlinieneinstellung standardmäßig den Status Nicht konfiguriert auf. Wenn Sie eine Richtlinieneinstellung aktivieren oder deaktivieren, ändert Windows Server die Konfiguration von Benutzern und Computern, auf die das GPO angewendet wird.

Hinweis

Wenn Sie eine Einstellung auf den Wert Nicht konfigurierten zurücksetzen, wird sie auf den jeweiligen Standardwert zurückgesetzt.

So erstellen Sie ein neues GPO in einer Domäne:

  1. Klicken Sie in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf den Container Gruppenrichtlinienobjekte zu, und wählen Sie dann im Kontextmenü Neu aus.
  2. Um die Konfigurationseinstellungen in einem GPO zu ändern, klicken Sie mit der rechten Maustaste auf das GPO, und wählen Sie dann im Kontextmenü Bearbeiten aus. Dadurch wird das Snap-in "Gruppenrichtlinienverwaltungs-Editor" geöffnet.

Im Gruppenrichtlinienverwaltungs-Editor werden alle Richtlinieneinstellungen angezeigt, die in einem GPO in einer geordneten Hierarchie verfügbar sind, die mit der Aufteilung zwischen Computereinstellungen und Benutzereinstellungen beginnt: den Knoten Computerkonfiguration und Benutzerkonfiguration.

GPOs werden in einem Container namens "Gruppenrichtlinienobjekte" angezeigt. Die nächsten beiden Ebenen der Hierarchie sind Knoten namens Richtlinien und Einstellungen. Im Gruppenrichtlinienverwaltungs-Editor werden hierarchisch angeordnete Ordner angezeigt, sogenannte Knoten oder Richtlinieneinstellungsgruppen. Die Richtlinieneinstellungen befinden sich in den Ordnern.

Was sind Starter-Gruppenrichtlinienobjekte?

Sie können ein Starter-Gruppenrichtlinienobjekt als Vorlage verwenden, aus der andere GPOs in der Gruppenrichtlinien-Verwaltungskonsole erstellt werden. Starter-Gruppenrichtlinienobjekte verfügen nur über Einstellungen für administrative Vorlagen. Sie können ein Starter-Gruppenrichtlinienobjekt verwenden, um einen Ausgangspunkt für die Erstellung neuer GPOs in Ihrer Domäne bereitzustellen. Das Starter-Gruppenrichtlinienobjekt weist u. U. bereits bestimmte Einstellungen auf, die für Ihre Umgebung am besten geeignet sind. Sie können Starter-Gruppenrichtlinienobjekte in CAB-Dateien exportieren und daraus importieren, um eine einfache und effiziente Verteilung an andere Umgebungen zu ermöglichen.

Hinweis

Die Gruppenrichtlinien-Verwaltungskonsole speichert Starter-GPOs in einem Ordner namens StarterGPOs, der sich in SYSVOL befindet.

Hinweis

SYSVOL ist ein freigegebener Ordner auf Domänencontrollern.

Microsoft stellt vorkonfigurierte Starter-Gruppenrichtlinienobjekte für Windows-Clientbetriebssysteme zur Verfügung. Diese Starter-Gruppenrichtlinienobjekte verfügen über Administrative Vorlagen-Einstellungen mit optimalen Werten, die Microsoft für die Konfiguration der Clientumgebung empfiehlt.