Group Policy Object

Das Group Policy Object (GPO), auf deutsch Gruppenrichtlinienobjekt, ist ein Begriff aus der EDV. Damit werden in einer Windows Active Directory Domain die Richtlinien gesetzt: Einerseits für einzelne Nutzer bis zu ganzen Nutzergruppen (organisiert in Organizational Units, OUs), andererseits auch für Computer und Computergruppen (auch in OUs). Zur Definition einer Richtlinie gehören: Rechte, Eigenschaften im System und Verwaltung, Installationen von MSI-Paketen, Sicherheitseinstellungen, Remoteeinstellungen und Profileigenschaften.

Verwendung

Unter Windows 2000 Server, Windows Server 2003 sowie Windows Server 2008 können Gruppenrichtlinien über die Konsole Active Directory Benutzer und Computer erstellt und konfiguriert werden. Die Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC) ist ein Snap-In, das eine erweiterte und verbesserte Konfiguration von Gruppenrichtlinien erlaubt, allerdings zuerst lokal auf dem Computer installiert werden muss (wird bei Windows 2008 Server DCs mitinstalliert) . Danach ist sie als eigenständiges Snap-In nutzbar, oder aus Active Directory Benutzer und Computer aufrufbar. Allerdings erfordert die GPMC zumindest Windows XP oder Windows Server 2003, unter Windows 2000 ist sie nicht lauffähig. Die Domäne kann aber auf Windows 2000-Level sein.^[1] Abgesehen von Standard-Konfigurationen können auch eigene Konfigurationsmöglichkeiten per Administrativer Vorlage, d.h. Dateien mit dem Suffix *.adm (bis Windows XP) bzw. *.admx (seit Windows Vista), genutzt werden. Eine sofortige Aktualisierung kann mit dem Befehl gpupdate.exe /force erzwungen werden.

Einschränkungen unterschiedlicher Richtlinien

Gruppenrichtlinien können mit verschiedenen Objekten verknüpft werden:

• Site (Standort)
• Domain (Domäne)
• OU (Organizational Unit, Organisationseinheit)

Zusätzlich gibt es bei jedem Computer immer eine lokale Richtlinie. Zu beachten ist dabei, dass Gruppenrichtlinien nicht auf Gruppen wirken, sondern nur auf Computer- und Benutzerkonten. Die Verarbeitungsreihenfolge von Gruppenrichtlinien ist Local, Site, Domain, OU. Jede spätere Verarbeitung überschreibt bei konkurrierenden Einstellungen die Werte der vorher verarbeiteten Richtlinie. Somit haben die Einstellungen in der lokalen Richtlinie die niedrigste Priorität, da sie zuerst verarbeitet wird und die Richtlinie auf der OU hat die höchste Priorität, da sie als letztes verarbeitet wird.

Sites

Sites sind Standorte, bei denen eine Normierung herrschen muss. Beispielsweise hat eine große Firma vielleicht einen Sitz in Deutschland, Japan, Korea etc. Nun soll in Japan alles auf die Japaner zugeschnitten werden: Alles auf japanisch etc. Durch Sites können Gebiete abgegrenzt und dann die Richtlinien nach diesem Gebiet gesetzt werden. Ein Hauptgrund für die Einrichtung eines Standortes ist auch die Steuerung des Replikationsverkehrs.

Domain / Domain Controller

In der Domain werden Richtlinien für die ganze Domain festgelegt, bis auf die Domain Controller. Diese haben eine eigene Richtlinie, da für diese andere Sicherheitseinstellungen getroffen werden müssen. Daher befinden sich die Computerkonten der Domänencontroller standardmäßig in der OU Domain Controllers.

Local

In Local (Lokal) setzt man Richtlinien für einen einzigen Computer. Ist ein Computer nicht Mitglied einer Domäne, ist die lokale Richtlinie die einzige Möglichkeit, Richtlinien zu nutzen.

Einzelnachweise

1. ↑ http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en