Verwaltung von Gruppenrichtlinienobjekten: Erstellen von GPOs, Verknüpfen von GPOs und Bearbeiten von GPOs

Wenn Sie ein IT-Profi sind, der mit Active Directory arbeitet, können Sie Gruppenrichtlinien verwenden, um die Windows-Umgebungen Ihrer Benutzercomputer und Ihrer Unternehmensserver mithilfe von Gruppenrichtlinienobjekten (GPO) zu konfigurieren. Allerdings ist der Kampf, eine intuitive und sichere Umgebung zu erreichen, echt. In diesem Artikel werde ich erklären, wie man ein GPO erstellt, und wie man sie verknüpft, löscht und deaktiviert. Wenn wir fertig sind, sollten Sie die Nuancen der wunderbar komplexen Welt der Gruppenrichtlinien besser verstehen.

Arbeiten mit GPOs

Es gibt zwei Möglichkeiten, mit GPOs zu arbeiten: Entweder können Sie den Lokalen Gruppenrichtlinien-Editor verwenden, um die Richtlinien auf einem lokalen Computer anzupassen, oder Sie können die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden, um in Ihrer Unternehmensumgebung zu arbeiten. Da lokale Richtlinien zuerst (vor Domänenrichtlinien) verarbeitet werden und um eine robuste Umgebung zu erhalten und zu gestalten, konzentrieren wir uns in diesem Artikel auf das Unternehmensszenario.

Installieren des Gruppenrichtlinien-RSAT-Tools

Die Group Policy Management Console ist Teil des traditionellen Remote Server Administration Tool (RSAT)-Toolsets. Es handelt sich um ein auf der MMC (Microsoft Management Console) basierendes Tool, das mit der modernen Windows-Einstellungs-App in Windows installiert ist. Als Nächstes zeige ich Ihnen, wie Sie es installieren können.

Auf einem Domänencontroller (DC) werden die Gruppenrichtlinieneinstellungen im freigegebenen Ordner ‚SYSVOL‘ gespeichert und auf alle anderen DCs in der Domäne (und dem Forest, wenn Sie so eingerichtet sind) repliziert. Dies beschreibt die eingebaute Redundanz der Gruppenrichtlinieninfrastruktur.

Um Ihnen zu zeigen, wie Sie das Tool Gruppenrichtlinien-Verwaltungskonsole installieren, werde ich mein Hyper-V-Labor verwenden, das in einer Windows Server 2022 Active Directory-Domäne läuft. Ich habe mich in meinen Windows 10-Version 22H2-Arbeitsplatz eingeloggt, also lassen Sie uns beginnen:

• Zuerst klicken Sie auf die Start-Schaltfläche und geben ‚optional‘ ein.

• Klicken Sie auf ‚Optionale Funktionen verwalten‘ und klicken Sie auf die Schaltfläche ‚+ Eine Funktion hinzufügen‘ oben.
• Scrollen Sie nach unten und setzen Sie ein Häkchen bei ‚RSAT: Gruppenrichtlinien-Verwaltungstools‘ und klicken Sie auf Installieren.

• Nach Abschluss klicken Sie auf Start und öffnen ‚Windows-Verwaltungstools.‘
• Doppelklicken Sie auf ‚Gruppenrichtlinienverwaltung.‘

Jetzt sehen wir die Gruppenrichtlinien-Verwaltungskonsole. Hier werden wir mit der allgemeinen Struktur vertraut gemacht, wie Gruppenrichtlinien aufgebaut sind und wie Sie spezifische logische Entitäten in Ihrer Organisation ansprechen können.

An diesem Punkt können IT-Profis in Absprache mit ihren Sicherheits- und Compliance-Teams Folgendes tun:

• Bestehende Gruppenrichtlinienobjekte (GPOs) ändern
• Neue GPOs erstellen
• Die Filterung bestimmter GPOs auf Gruppenebene ändern
• Verwenden Sie WMI-Filterung, um bestimmte Computer zu zielen
• Verwenden Sie die Gruppenrichtlinienmodellierung und -ergebnisse, um „Tests“ oder „Was-wäre-wenn“-Szenarien durchzuführen

Als nächstes werden wir mit der Erstellung einer neuen Gruppenrichtlinie beginnen.

Erstellen Sie eine Gruppenrichtlinie

Erstellen wir eine neue Einstellung, die zeigen wird, wie Sie die Computer Ihrer Benutzer auf andere Weise ändern können.

• Zunächst werde ich mit der rechten Maustaste auf „Domain Windows-Computer“ klicken und „Eine Gruppenrichtlinie in dieser Domäne erstellen und hier verknüpfen…“ auswählenDomain Windows-Computer‘ und auf „Erstellen einer Gruppenrichtlinie in dieser Domäne und Verknüpfen hier…“‘ klicken

• I will name it ‘Start Menu Cleanup‘ and click OK.

• Dann werde ich mit der rechten Maustaste auf die neue Gruppenrichtlinie klicken und Bearbeiten auswählen.

• Navigieren wir zu Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Startmenü und Taskleiste.

• Hier werde ich auf Ausschalten und Verhindern des Zugriffs auf die Befehle Herunterfahren, Neustart, Ruhezustand und Energiesparen doppelklicken.

• Nachdem ich die Hilfe gelesen habe, werde ich Aktiviert umschalten und auf OK klicken.

Nun, seien Sie gewarnt, diese Einstellung ist jetzt in der Umgebung aktiv. Jedes Computerobjekt in dieser OU wird diese Einstellungen beim nächsten Aktualisieren sehen. Standardmäßig bearbeiten Domänencomputer und Server Gruppenrichtlinien alle 90 Minuten mit einem zufälligen Offset von 30 Minuten. Wenn Sie jedoch testen (und Fehlerbehebung durchführen), ist der gpresult-Befehl Ihr Freund.

Sie können auch den Computer dazu zwingen, die Gruppenrichtlinie auf dem Gerät zu aktualisieren, indem Sie den folgenden gpupdate-Befehl in Ihrer bevorzugten Terminal-/Shell ausführen. Dadurch werden alle Änderungen an der Gruppenrichtlinie für den Computer und den angemeldeten Benutzer verarbeitet. Der Schalter „/force“ erzwingt die Änderungen ohne Bestätigungsanfrage.

gpupdate /force

Ok, die Änderungen wurden jetzt verarbeitet. Lassen Sie mich auf die Start-Schaltfläche klicken und zum Herunterfahren oder Abmelden-Menü gehen, und… es hat funktioniert! Die Elemente, die wir entfernen wollten, sind jetzt ausgeblendet.

Diese recht einfache Änderung verhindert, dass Ihre Benutzer ihre Computer neu starten oder herunterfahren. Offensichtlich gibt es viele Variablen und Anwendungsfälle für Einstellungen wie diese. Es ist in einigen Situationen ideal und in anderen schmerzhaft. Das ist das Gleichgewicht, das Sie als IT-Profi durchlaufen, um zu entscheiden, was für Ihre Organisation am besten funktioniert.

Link GPO

Lassen Sie mich Ihnen zeigen, wie Sie eine vorhandene GPO an einen bestimmten Ort im Active Directory verknüpfen. In einem früheren Leben habe ich eine GPO namens „Domain Controller Security Lockdown“ erstellt. Die Einstellungen in dieser GPO enthalten Sicherheitsstandards für Domänencontroller gemäß den Richtlinien unseres Unternehmens. Ich kann diese neuen Einstellungen problemlos mit den DCs in meiner Domäne – reinders.local – verknüpfen.

• Zuerst klicke ich mit der rechten Maustaste auf die Organisationseinheit Domänencontroller und wähle Eine vorhandene GPO verknüpfen.

• Dann wähle ich Domain Controller Security Lockdown aus der Liste und klicke auf OK.

Jetzt sehen Sie, dass die GPO mit den Domänencontrollern verknüpft ist. Das nächste Mal, wenn unsere DCs nach Gruppenrichtlinienaktualisierungen suchen, werden sie die Einstellungen in dieser GPO verarbeiten. Das ist die Schönheit der zentralen Kontrolle, die Sie haben. Erstellen und gestalten Sie einmal eine Gruppe von Einstellungen und wenden Sie sie dann problemlos auf einen Container in Ihrer Umgebung an. Fertig!

Eine vorhandene GPO bearbeiten

Lassen Sie uns meine Domäne – reinders.local – anschauen und sehen, was wir haben.

Da es sich hier um ein Labor handelt, ist es ziemlich grundlegend, fast primitiv. In größeren Unternehmen ist es nicht ungewöhnlich, Hunderte oder Tausende von GPOs in einer einzigen Domäne zu entdecken. Die Komplexität der Vererbung einiger GPOs, die Verwendung von WMI zur Ausrichtung auf bestimmte Betriebssysteme, der Umgang mit lokalen GPOs, Kind-OUs und lokalen Richtlinien im Mix – all das kann ziemlich einschüchternd sein.

Abgesehen davon wird die bloße Anzahl der GPOs in Ihrer Domäne dazu führen, dass insgesamt Leistungseinbußen auftreten, wenn Computer hochfahren und Benutzer sich anmelden. Dies ist wahrscheinlich die größte Debatte heute: Erstellen Sie eine Reihe von GPOs und fügen Sie in jedem von ihnen nur eine Einstellung hinzu, um die Verwaltbarkeit zu erleichtern? Oder erstellen Sie eine Handvoll GPOs mit Ihren Richtlinienänderungen, um die Verarbeitungszeit zu verkürzen? Dies könnte ein eigenständiger Artikel sein!

GPO-Bereich

I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.

Der Speicherort befindet sich am Stamm der Domäne (reinders.local). Das bedeutet, dass standardmäßig JEDES Computer- und Serverobjekt in der Domäne diese GPO sehen und umsetzen wird. Es gibt wiederum Möglichkeiten, bestimmte Benutzer, Computer, OUs und Sicherheitsgruppen herauszufiltern. Mehr dazu später.

Hier zeigt der Bereich Sicherheitsfilterung die Gruppe Authentifizierte Benutzer. Dies bedeutet fast „Jeder“: Jedes Konto, das sich an der Domäne authentifiziert hat, wird diese GPO sehen.

WMI-Filterung

Die WMI-Filterung-Einstellung unten ist der Ort, an dem Sie bestimmte SKUs anvisieren können. Sie könnten beispielsweise eine bestimmte WSUS-Installation so konfigurieren, dass sie nur Windows-10-Version-21H2- und 22H2-Computer berührt.

GPO bearbeiten

Lassen Sie mich Ihnen zeigen, wie Sie eine GPO bearbeiten.

• Klicken Sie zunächst mit der rechten Maustaste auf die GPO, die Sie ändern möchten, und klicken Sie auf „Bearbeiten…“

• A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
• Um die WSUS-Einstellungen zu finden, erweitern Sie Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update.
• Hier sehen Sie zwei Einstellungen „Aktiviert“ oder konfiguriert. Lassen Sie uns Automatische Updates konfigurieren. öffnen.

Dies ist eine etwas komplexere Einstellung, aber Sie verstehen das Prinzip. Dies sind die Einstellungen dafür, wie Windows-Updates in meiner Domäne angewendet werden. Ziemlich granular, würden Sie nicht sagen? Aber der Punkt hier ist, dass Sie alle Ihre Computer (oder eine Teilmenge) zentral hier verwalten können.

Hier ist ein Beispiel dafür, wie Gruppenrichtlinien Einstellungen auf Computern „sperren“. Haben Sie die Option ‚Updates für andere Microsoft-Produkte installieren‚ am unteren Rand bemerkt? Wenn ich Windows Update -> Erweiterte Optionen auf diesem Arbeitsplatz überprüfe, ist zu beachten, dass die erste Einstellung, „Updates für andere Microsoft-Produkte empfangen, wenn Sie Windows aktualisieren“, nun durch Gruppenrichtlinien gesteuert wird.  Es ist markiert Aktiviert und ausgegraut.

Genau das bedeutet der Hinweis „Einige Einstellungen werden von Ihrer Organisation verwaltet“ oben. Technisch gesehen besagt er, dass einige Gruppenrichtlinien auf diesen Computer angewendet wurden und Sie die Einstellung nicht anpassen können.

Verwalten der Standard-GPOs

Beim Erstellen einer neuen Domäne werden zwei GPOs erstellt – ‚Standarddomänenrichtlinie‘ und ‚Standardrichtlinie für Domänencontroller‘. Mindestens diese werden die Richtlinien für Domänenpasswörter, Kontosperrrichtlinien, Kerberosrichtlinien, grundlegende Sicherheitsoptionen und andere Netzwerksicherheitsoptionen diktieren.

Jahrzehntelang wurde stark darauf bestanden, dass Sie als IT-Profi diese 2 Richtlinien NICHT ändern sollten – Sie sollten stattdessen neue GPOs erstellen. Dafür gibt es mehrere Gründe, aber ich glaube, der fundamentalste ist, dass Sie bei der Fehlerbehebung in Ihrer Domäne wissen, dass diese Standardkonfiguration nicht geändert wurde.

Dies war oft die erste Frage des technischen Supports von Microsoft, wenn ich im Laufe der Jahre mit ihnen an Problemen im Active Directory/Gruppenrichtlinien gearbeitet habe. Sie kennen diese Kern-Einstellungen und müssen dort anfangen, am Grund des Ozeans, um sicherzustellen, dass ihr inhärenter Ausgangspunkt korrekt ist.

Also ist das auch meine Empfehlung, wie Sie die Standard-GPOs verwalten sollten – NICHT!

Deaktivieren einer GPO

Wenn Sie eine GPO deaktivieren und verhindern möchten, dass ihre Einstellungen auf zukünftige Computer angewendet werden, klicken Sie einfach mit der rechten Maustaste auf die GPO und wählen Sie Verknüpfung aktivieren. Dadurch wird die Verknüpfung entfernt und die GPO in einen „ruhenden“ Zustand versetzt.

GPO löschen

Wenn Sie Bereinigungen und/oder Fehlerbehebungen durchführen, können Sie eine GPO löschen, indem Sie mit der rechten Maustaste darauf klicken und Löschen wählen. Um gründlich und effizient zu sein, empfehle ich Ihnen, zur Ansicht Gruppenrichtlinienobjekte im Baum zu gehen und sie von dort aus zu löschen.

Fazit

Die Implementierung von Gruppenrichtlinien ist anfangs trügerisch einfach… Es ist ziemlich einfach, Ihre Infrastruktur für Gruppenrichtlinienobjekte zu erstellen. Zu bestätigen, zu validieren und später zu untersuchen, warum bestimmte Computer ihre Office-Installationen automatisch aktualisieren und andere den Benutzer auffordern… das ist, wo der Spaß beginnt.

Alles in allem ist die Moral der Geschichte recht einfach: Testen, Testen, Testen! Je mehr Sie validieren und Einhaltung erhalten können, desto effizienter und reibungsloser wird Ihre Umgebung sein. Einfacher für die Fehlerbehebung und das Aktivieren neuer Richtlinien.

Bitte hinterlassen Sie unten einen Kommentar, wenn Sie Fragen haben!