Implementieren von GPO-Bereich und Vererbung

  • 7 Minuten

Richtlinieneinstellungen in GPOs definieren die Konfiguration. Sie müssen jedoch die Computer oder Benutzer angeben, für die das GPO gilt, damit sich die Konfigurationsänderungen in einem GPO auf Computer oder Benutzer in Ihrer Organisation auswirken. Dies wird als Bereichsdefinition für ein GPO bezeichnet. Der Bereich eines GPOs ist die Sammlung der Benutzer und Computer, die die Einstellungen im GPO übernehmen.

Wichtig

Sie definieren den Bereich eines GPOs, indem Sie es mit einer Organisationseinheit verknüpfen, die die Zielbenutzer und -computer enthält.

Definieren des GPO-Bereichs

Es gibt verschiedene Methoden, um den Bereich von domänenbasierten GPOs zu verwalten. Die erste ist die GPO-Verknüpfung. In AD DS können Sie GPOs mit folgenden Objekten verknüpfen:

  • Standorte
  • Domänen
  • Organisationseinheiten

Der Standort, die Domäne bzw. die Organisationseinheit wird dann zum maximalen Bereich des GPO. Die Konfigurationen, die die Richtlinieneinstellungen im GPO angegeben werden, wirken sich auf alle Computer und Benutzer innerhalb des Standorts, der Domäne oder der Organisationseinheit aus, einschließlich der untergeordneten Organisationseinheiten. Sie können ein GPO mit mehreren Domänen, Organisationseinheiten oder Standorten verknüpfen.

Achtung

Die Verknüpfung von GPOs mit mehreren Standorten in einer Gesamtstruktur mit mehreren Domänen kann bei der Anwendung der Richtlinie zu Leistungsproblemen führen. Daher sollten Sie GPOs in dieser Situation nicht mit mehreren Standorten verknüpfen. Dies liegt daran, dass die GPOs in einem Netzwerk mit mehreren Gesamtstrukturen und Standorten auf den Domänencontrollern in der Domäne gespeichert werden, in der die GPOs erstellt wurden. Dies hat zur Folge, dass Computer in anderen Domänen u. U. eine langsame WAN-Verbindung durchlaufen müssen, um die GPOs zu erhalten.

Sie können den GPO-Bereich mit zwei verschiedenartigen Filtern, die in der folgenden Tabelle erläutert werden, weiter eingrenzen.

Filter

Beschreibung

Sicherheit

Diese Filter geben Sicherheitsgruppen bzw. einzelne Benutzer- oder Computerobjekte an, die sich auf den GPO-Bereich beziehen, auf die das GPO aber explizit angewendet oder nicht angewendet werden soll.

WMI

Diese Filter definieren einen Bereich anhand von Merkmalen eines Systems, z. B. Betriebssystemversion oder freier Speicherplatz.

Screenshot der Gruppenrichtlinien-Verwaltungskonsole. Der Administrator hat ein GPO ausgewählt, das mit der Marketing-Organisationseinheit verknüpft ist. Im Detailbereich werden ein WMI-Filter namens

Mit Sicherheitsfiltern und WMI-Filtern können Sie den Bereich eingrenzen innerhalb ursprünglichen Bereichs angeben, der vom GPO-Link erstellt wurde. Nachstehend finden Sie ein Beispiel für einen WMI-Filter, der zu einer Liste von Computern führt, auf denen Windows 10 ausgeführt wird.

select * from Win32_OperatingSystem where Version like "10.%"

GPO-Verarbeitungsreihenfolge

Die GPOs, die für einen Benutzer und/oder Computer gelten, werden nicht alle gleichzeitig angewendet. GPOs werden in einer bestimmten Reihenfolge angewendet. In Konflikt stehende Einstellungen, die später verarbeitet werden, können die zuerst verarbeiteten Einstellungen überschreiben.

Gruppenrichtlinien werden der folgenden hierarchischen Reihenfolge verarbeitet:

  1. Lokale GPOs.
  2. Mit einem Standort verknüpfte GPOs.
  3. Mit einer Domäne verknüpfte GPOs.
  4. Mit einer Organisationseinheit verknüpfte GPOs.
  5. Mit einer untergeordneten Organisationseinheit verknüpfte GPOs.

Wichtig

In Gruppenrichtlinienanwendung ist standardmäßig die zuletzt angewendete Richtlinie (die spezifischste Richtlinie) maßgeblich.

Eine Richtlinie, die den Zugriff auf die Systemsteuerung auf Domänenebene einschränkt, kann z. B. durch eine Richtlinie außer Kraft gesetzt werden, die auf der OE-Ebene für die in der jeweiligen OE enthaltenen Objekte angewendet wird.

Wenn Sie mehrere GPOs mit einer Organisationseinheit verknüpfen, werden diese in der Reihenfolge verarbeitet, die der Administrator auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit in der Gruppenrichtlinien-Verwaltungskonsole angegeben hat. Standardmäßig ist die Verarbeitung für alle GPO-Verknüpfungen aktiviert. Sie können die GPO-Verknüpfung eines Containers deaktivieren, um die Anwendung eines GPOs vollständig für eine bestimmte Domäne oder Organisationseinheit vollständig zu blockieren. Wenn Sie z. B. vor kurzem eine Änderung an einem GPO vorgenommen haben und dadurch Produktionsprobleme verursacht wurden, können Sie die Verknüpfungen deaktivieren, bis das Problem behoben ist.

Hinweis

Beachten Sie Folgendes: Wenn das GPO mit anderen Containern verknüpft ist, wird das GPO weiterhin verarbeitet, wenn die jeweiligen Verknüpfungen aktiviert sind.

Darüber hinaus können Sie die Benutzer- oder Computerkonfiguration eines bestimmten GPOs unabhängig vom Benutzer oder Computer deaktivieren. Wenn ein Abschnitt einer Richtlinie bekanntermaßen leer ist, kann die Verarbeitung der Richtlinie durch Deaktivieren des anderen Abschnitts geringfügig beschleunigt werden. Wenn Sie z. B. über eine Richtlinie verfügen, die nur die Desktopkonfiguration für Benutzer festlegt, können Sie den Computerabschnitt der Richtlinie deaktivieren.

GPO-Vererbung

Sie können eine Richtlinieneinstellung in mehr als einem GPO konfigurieren. Dies kann dazu führen, dass GPOs miteinander in Konflikt stehen. In diesem Fall bestimmt die Rangfolge der GPOs, welche Richtlinieneinstellung der Client anwendet. Ein GPO mit höherer Rangfolge hat Vorrang vor einem GPO mit niedrigerer Rangfolge. Die Rangfolge wird numerisch bestimmt. Jedes GPO hat einen Rangfolgewert. Je kleiner die Zahl ist, desto größer ist die Rangfolge. Daher hat ein GPO mit der Rangfolge 1 Vorrang vor allen anderen GPOs.

Das Standardverhalten von Gruppenrichtlinien ist, dass GPOs, die mit einem Container auf höherer Ebene verknüpft sind, von Containern auf niedrigerer Ebene übernommen werden. Wenn ein Computer gestartet wird oder ein Benutzer sich anmeldet, werden die Position des Computer- oder Benutzerobjekts in AD DS von den Gruppenrichtlinienclient-Erweiterungen überprüft und GPOs mit Bereichen ausgewertet, die den Computer oder Benutzer enthalten. Anschließend wenden die clientseitigen Erweiterungen die Richtlinieneinstellungen dieser GPOs an. Richtlinien werden nacheinander angewendet: zuerst die Richtlinien, die mit dem Standort verknüpft sind, gefolgt von denen, die mit der Domäne verknüpft sind, und dann denen, die mit Organisationseinheiten verknüpft sind. Durch diese sequenzielle Anwendung von GPOs kommt es zur sogenannten Richtlinienvererbung. Die Richtlinien werden vererbt, d. h., dass der Richtlinienergebnissatz für einen Benutzer oder Computer die kumulative Auswirkung von Standort-, Domänen- und OE-Richtlinien ist.

Deaktivieren der Vererbung

Sie können eine Domäne oder Organisationseinheit so konfigurieren, dass die Vererbung von Richtlinieneinstellungen verhindert wird. Dies wird als Deaktivieren der Vererbung bezeichnet. Klicken Sie zum Deaktivieren der Vererbung mit der rechten Maustaste für die Domäne oder Organisationseinheit in der GPMC-Konsolenstruktur, und wählen Sie dann im Kontextmenü Vererbung deaktivieren aus.

Screenshot des Kontextmenüs für die Marketing-Organisationseinheit in der Gruppenrichtlinien-Verwaltungskonsole. Der Administrator hat

Die Option "Vererbung deaktivieren" ist eine Eigenschaft eines Containers, sodass alle Gruppenrichtlinieneinstellungen von GPOs deaktiviert werden, die mit übergeordneten Elementen in der Gruppenrichtlinienhierarchie verknüpft sind.

Achtung

Verwenden Sie die Option "Vererbung deaktivieren" möglichst selten, da das Deaktivieren der Vererbung das Auswerten der Rangfolge und Vererbung von Gruppenrichtlinien erschwert.

Tipp

Durch Filterung von Sicherheitsgruppen können Sie einen GPO-Bereich so präzise festlegen, dass es nur auf die gewünschten Benutzer und Computer angewendet wird und die Verwendung der Option "Vererbung deaktivieren" unnötig wird.

Außerdem können Sie eine GPO-Verknüpfung erzwingen. Um eine GPO-Verknüpfung zu erzwingen, klicken Sie mit der rechten Maustaste auf die GPO-Verknüpfung in der Konsolenstruktur, und wählen Sie dann im Kontextmenü Erzwungen aus.

Screenshot des Kontextmenüs für das GPO

Wenn Sie eine GPO-Verknüpfung auf "Erzwungen" festlegen, hat das Gruppenrichtlinienobjekt die höchste Rangfolge. Richtlinieneinstellungen in diesem GPO haben Vorrang vor allen in Konflikt stehenden Richtlinieneinstellungen in anderen GPOs.

Wichtig

Eine erzwungene Verknüpfung wird auch dann auf untergeordnete Container angewendet, wenn für diese Container "Vererbung deaktivieren" festgelegt ist. Die Option "Erzwungen" bewirkt, dass die Richtlinie auf alle Objekte innerhalb des jeweiligen Bereichs angewendet wird.

Die Erzwingung ist hilfreich, wenn Sie ein GPO konfigurieren müssen, das eine Konfiguration definiert, die von den IT-Sicherheits- und -Nutzungsrichtlinien Ihres Unternehmens vorgeschrieben wird. Daher muss sichergestellt sein, dass andere GPOs, die mit der gleichen Ebene oder niedrigeren Ebenen verknüpft sind, diese Einstellungen nicht überschreiben. Dies können Sie erreichen, indem Sie die Verknüpfung der GPO erzwingen.

Auswerten der Rangfolge

Um die Auswertung der GPO-Rangfolge zu erleichtern, können Sie einfach eine Organisationseinheit oder Domäne und dann die Registerkarte Gruppenrichtlinienvererbung auswählen. Auf dieser Registerkarte wird die resultierende Rangfolge von GPOs unter Berücksichtigung von GPO-Verknüpfung, Verknüpfungsreihenfolge, Vererbungsdeaktivierung und Verknüpfungserzwingung angezeigt.

Screenshot der Gruppenrichtlinien-Verwaltungskonsole. Der Administrator hat die Registerkarte

Wichtig

Diese Registerkarte berücksichtigt keine Richtlinien, die mit einem Standort verknüpft sind, bzw. Sicherheits- oder WMI-Filter GPOs verwenden.