Gruppenrichtlinie. Es ist ein Dienst, mit dem jeder Windows-Administrator vertraut ist. Aber was ist eine Gruppenrichtlinie? Eine Gruppenrichtlinie ist eine gängige Methode, um Konfigurationseinstellungen anzuwenden, Software zu installieren, Skripte auszuführen und vieles mehr auf Tausenden von Computern, die zur Active Directory (AD)-Domäne gehören.
Erweitern Sie die Funktionalität der Gruppenrichtlinie und vereinfachen Sie das Management von fein abgestuften Kennwortrichtlinien. Zielen Sie auf beliebige GPO-Ebene, Gruppe, Benutzer oder Computer mit Wörterbuch- und Passphraseneinstellungen mit Specops Password Policy. Jetzt kostenlos testen!
Die Gruppenrichtlinie besteht aus vielen verschiedenen Diensten und Workflows. Die meisten Administratoren wissen wahrscheinlich nicht einmal, wie sie unter der Haube funktioniert! In diesem Artikel wollen wir das ändern.
Wenn Sie wissen möchten, was eine Gruppenrichtlinie ist und wie sie funktioniert, bleiben Sie dran, denn wir werden nichts unversucht lassen!
Was sind Gruppenrichtlinienobjekte (GPOs)
GPOs sind das Herzstück der Gruppenrichtlinie. GPOs sind einzelne Richtlinien, die viele verschiedene Einstellungen enthalten, die auf einem Computer in einer Domäne ausgeführt werden sollen.
In Windows 10/2019 Server gibt es mehr als fünftausend Einstellungen, die alle relevanten Aspekte von Windows abdecken. Darüber hinaus können Sie noch mehr für spezifische Anwendungen importieren: Office, Microsoft Edge, Google Chrome, LAPS-E sind nur einige Beispiele. Sie können auch Ihre eigenen erstellen.
Denken Sie an eine Gruppenrichtlinie (GPO) einfach als eine einzelne Richtlinie; es ist eine Manifestdatei, die Anweisungen enthält, um Aufgaben wie das Festlegen eines Anmeldeskripts, das Ändern des Desktops eines Benutzers, das Installieren von Software und Tausende anderer Aufgaben auszuführen.
Active Directory speichert GPOs in der Active Directory-Datenbank, die zwischen Domänencontrollern (DCs) repliziert werden.
GPOs haben zwei „Kategorien“ von Einstellungen, eine für einen Computer und eine für einen Benutzer. Diese „Kategorien“ definieren, wie die Einstellungen innerhalb der GPO auf den Computer angewendet werden. Wenn Sie beispielsweise den Hintergrund eines Benutzers ändern müssen, handelt es sich um Benutzereinstellungen. Wenn Sie eine systemweite Software installieren müssen, handelt es sich um eine Computereinstellung.
Sobald Sie eine GPO erstellt haben, richten Sie diese GPO auf eine Gruppe von Computern oder Benutzern innerhalb einer Organisationseinheit (OU) aus. Der Computer sucht dann regelmäßig nach neuen GPOs und wendet diese Einstellungen an (mehr dazu später).
Was sind Gruppenrichtlinienvorlagen
Wenn eine GPO der Hauptbestandteil der Gruppenrichtlinie ist, ist die Gruppenrichtlinienvorlage (GPT) das nächste wichtige Konzept. Die GPT geht Hand in Hand mit der GPO.
Active Directory speichert GPOs in SYSOL, das ein Dateifreigabe auf den Domänencontrollern ist, um Dateien zu verteilen. GPTs bestehen aus Registrierungseinstellungen, Sicherheitsdateien, Anwendungen, Skripten und Installationsprogrammen, Verknüpfungen, XML-Dateien, Grafikdateien usw., abhängig von den Einstellungen, die Sie in der entsprechenden GPO definieren.
Die Verwaltung von Gruppenrichtlinien mit dem GPMC
Gruppenrichtlinien werden über die Gruppenrichtlinien-Verwaltungskonsole (GPMC) gesteuert. Diese Konsole ist auf allen Domänencontrollern installiert und Teil des Remote Server Administration Toolkit (RSAT). Die GPMC verbindet sich mit dem Domänencontroller, der die Rolle des primären Domänencontroller-Emulators (PDCe) innehat, um Änderungen an den Gruppenrichtlinien vorzunehmen.
In der GPMC können Sie Gruppenrichtlinienobjekte (GPOs) für Active Directory-Organisationseinheiten (OUs), Active Directory-Standorte und mehr erstellen und zuweisen.
Wie die Replikation von Gruppenrichtlinien funktioniert
Wie bereits erwähnt, sind GPOs und GPTs Teil von AD. Als solche sind sie Teil des typischen Active Directory-Replikationsprozesses.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Wenn eine GPO über den GPMC geändert wird, verbindet sich der GPMC mit dem PDCe-DC.
- Der GPMC erstellt oder ändert dann die GPO in den Active Directory-Datenbanken und erstellt/aktualisiert die GPT in SYSVOL.
- Nach der Änderung übernimmt die AD-Replikation und repliziert sowohl die GPO als auch die GPT gemäß dem AD-Replikationszeitplan auf die anderen DCs. Die Replikation dauert in der Regel bis zu 5 Minuten, wenn Ihr „lokaler“ DC und der PDCE sich im selben Standort befinden, oder länger, wenn sie sich in verschiedenen Standorten befinden.
DCs replizieren auch die GPTs in SYSVOL, sobald sie mit dem GPMC erstellt wurden, jedoch über einen separaten Replikationsmechanismus namens DFS-R. Der Replikationszeitplan für SYSVOL ist der gleiche wie der Replikationszeitplan für die AD-Datenbank. Beide Komponenten eines GP sollten ungefähr zur gleichen Zeit auf Ihrem lokalen DC ankommen.
Wie GPOs angewendet werden
Der GPMC hat also die GPO/GPT erstellt und sie wurden in allen DCs Ihrer AD-Umgebung repliziert. Und jetzt? Jetzt müssen die Client(s) die Richtlinie abrufen. An diesem Punkt liegt es am Client, den DC auf neue/geänderte Richtlinien zu überprüfen.
Kunden halten sich an ihren definierten Gruppenrichtlinien-Auffrischungsintervall. Dies ist der Zeitraum, in dem sie routinemäßig nach Änderungen mit ihrem DC suchen. Standardmäßig ist das Auffrischungsintervall auf 90 Minuten plus einen zufälligen Zeitversatz von 0 bis 30 Minuten eingestellt.
Wenn ein DC mit einer Richtlinie anvisiert wird, beträgt das standardmäßige Auffrischungsintervall nur fünf Minuten.
Sobald das Auffrischungsintervall abgelaufen ist, überprüft der Gruppenrichtlinien-Client-Dienst auf dem Client beim DC nach neuen oder geänderten Richtlinien. Wenn solche gefunden werden, werden sie heruntergeladen und die Anweisungen auf dem Client-Computer ausgeführt.
Der Gruppenrichtlinien-Client-Dienst wendet neue Einstellungen möglicherweise nicht sofort an. Einige Einstellungen können nicht sofort angewendet werden, wie z.B. beim nächsten Anmelden, bei umgeleiteten Ordnern, nach dem nächsten Neustart usw.
Es gibt Richtlinien, die angewendet werden, auch wenn seit dem letzten Mal keine Änderungen vorgenommen wurden. Ein gutes Beispiel dafür sind Sicherheitseinstellungen, die beim Start des Computers und alle 16 Stunden erneut angewendet werden, wenn der Computer in der Zwischenzeit nicht neu gestartet wurde. Dies ist wichtig: Wenn jemand Änderungen an einer bestimmten Sicherheitskonfiguration vorgenommen hat, werden sie bei der nächsten Aktualisierung wiederhergestellt (denken Sie an geöffnete Firewall-Ports in der Windows-Firewall oder an hinzugefügte/entfernte Mitglieder von Eingeschränkte Gruppen auf dem lokalen Computer).
Andere Einstellungen können so konfiguriert werden, dass sie erneut angewendet werden, auch wenn die Gruppenrichtlinie nicht geändert wurde. Sie können das Verhalten des Gruppenrichtlinienclients für einen bestimmten Typ von Einstellungen über die Registrierung oder, Sie haben es erraten, über die Gruppenrichtlinie steuern.
Erzwingen Sie die Einhaltung von Anforderungen, blockieren Sie über 3 Milliarden kompromittierte Passwörter und helfen Sie Benutzern, stärkere Passwörter in Active Directory mit dynamischem Feedback für Endbenutzer zu erstellen. Kontaktieren Sie uns noch heute für weitere Informationen zu Specops Password Policy!
Zusammenfassung
Wenn Sie sich jemals gefragt haben, „Was ist Gruppenrichtlinie?“, hoffe ich, dass dieses Tutorial diese Frage beantworten konnte. Gruppenrichtlinie ist ein System, das schon lange existiert und auch heute noch von Tausenden von Organisationen verwendet wird. Es ist ein Grundnahrungsmittel für viele, die Änderungen in ihrer Windows-Computerumgebung durchführen müssen.
Wenn Sie Änderungen an einem, zehn oder 1.000 computers im Domainverbund durchführen müssen, stellen Sie sicher, dass Sie wissen, was Gruppenrichtlinie ist.