Tags: Sicherheit, Active Directory, Gruppenrichtlinien, Rechteverwaltung
Group Policies sind eine etablierte Technik für das zentrale Management von Clients und Servern unter Windows. Obwohl die meisten Administratoren regelmäßig damit arbeiten, halten sich einige irrige Auffassungen. Das zumindest behauptet Derek Melber, der 5 nach seiner Meinung gängige Missverständnisse zusammengestellt hat.
Zwei der falschen Auffassungen betreffen die Haltbarkeit von Einstellungen, die via GPO gesetzt werden. Zum einen sei die Ansicht weit verbreitet, dass Registry-Schlüssel auch dann erhalten bleiben, wenn die betreffende Policy nicht mehr zutrifft oder entfernt wurde ("Policy Tattooing"). Tatsächlich werden die Einstellungen unter 4 Policies-Pfade geschrieben. Wenn die Richtlinie nicht mehr angewandt wird, dann entfernt Windows dort den Eintrag und dann gilt wieder die ursprüngliche Einstellung.
Kein automatischer Refresh ohne Update
Umgekehrt gibt es die Vorstellung, dass die Client Side Extensions eine Konfiguration sofort wiederherstellen, wenn diese beispielsweise vom Benutzer manuell aus der Registry entfernt wurde. In Wirklichkeit erfolgt ein solcher Refresh nur dann, wenn sich die Version des GPO ändert, also weil es modifiziert wurde. Die Manipulation der Registry-Einträge alleine führt aber zu keinen unterschiedlichen Versionsnummern zwischen Client und Server. Allerdings kann man ein Neuschreiben der Einstellungen mit Hilfe von gpupdate erzwingen, wenn man den Schalter /force verwendet.
Passwortregeln nicht für OUs
Eine weitere irrige Auffassung besteht nach den Erfahrungen von Derek Melber darin, dass man Passwortwortregeln mit OUs verknüpft und erwartet, dass sie sich auf User dieser Organisationseinheit auswirkt. Tatsächlich betrifft eine solche Konfiguration die lokalen Konten von Computern in dieser OU. Benutzerspezifische Vorgaben lassen sich mit Fine-grained Password Policies machen, aber die kann man nur auf Gruppen anwenden.
Keep it simple
Weitere Eigenschaften der Gruppenrichtlinien, die dem Autor zufolge zu Missverständnissen führen können, sind die GPO-Resultate, wie sie in RSoP angezeigt werden, sowie die Rechte zur Installation von Group-Policy-Erweiterungen. Er empfiehlt insgesamt eine möglichst einfache GPO-Implementierung, die Features wie Erzwungen, Vererbung deaktivieren oder Sicherheitsfilterung so weit wie möglich vermeidet. Dies vereinfacht die Fehlersuche.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Health Report erstellen für Local Administrator Password Solution (LAPS)
- Active Directory absichern: Passwortregeln, priviligierte Gruppen prüfen, Baselines vergleichen
- CyberArk schützt in Echtzeit Accounts von Active Directory
- LAPS: Lokale Administrator-Passwörter zentral verwalten mit GPOs
- OUs, Gruppen, User: AD-Objekte vor zufälligem Löschen schützen