GPOs anwenden: Vererbung deaktivieren, Erzwungen, Verknüpfung aktiviert

    Gruppenrichtlinienobjekte (GPOs)Die Gruppen­richt­linien kennen mehrere Mecha­nismen, mit denen sich Ein­stel­lungen genauer auf bestimmte Computer oder User ein­grenzen lassen. Dazu gehört, dass man die normalen Regeln der Vererbung außer Kraft setzen kann, nachdem man ein GPO mit einer Site, Domäne oder OU verknüpft hat.

    Gruppenrichtlinienobjekte lassen sich Sites, Domänen oder OUs zuordnen. Sie wirken sich dann auf alle User und Computer aus, die in der AD-Hierarchie unterhalb eines solchen Containers liegen. Wenn man sie jedoch auf bestimmte Objekte eingrenzen möchte, dann kann man dies etwa anhand verschiedener Kriterien mit einem WMI-Filter tun.

    Vertikale versus horizontale GPO-Filter

    Diese eignen sich primär dazu, bestimmte Computer anhand ihrer Hard- und Software-Ausstattung ein- oder auszuschließen. Dagegen kann man die Sicherheitsfilterung benutzen, um beliebigen Konten oder Gruppen das Recht zur Anwendung spezifischer GPOs zu entziehen und so diese von den darin enthaltenen Einstellungen ausnehmen.

    Per Voreinstellung wirkt sich ein GPO in allen verknüpften Containern auf die Gruppe Authentifizierte Benutzer aus.

    Diese zwei Mechanismen wirken also durch die gesamte AD-Hierarchie hinab und schränken auf jeder Ebene die Wirksamkeit der betreffenden GPOs gezielt ein. Möchte man aber dagegen sicherstellen, dass die im AD-Baum weiter oben verknüpften GPOs von einer bestimmter OU abwärts generell nicht mehr greifen, dann kann man die Vererbung pauschal blockieren.

    Zu diesem Zweck öffnet man in der Gruppen­richt­linien­verwaltung das Kontextmenü einer Domäne oder OU und führt dort den Befehl Vererbung deaktivieren aus. Anschließend wird der betreffende Container in der Baumansicht mit einem runden blauen Icon markiert.

    Wenn man die Vererbung für ein GPO deaktiviert, dann wirkt es sich im AD-Baum abwärts auf keine Objekte mehr aus.

    Einstellungen eines GPO erzwingen

    Das Gegenstück zum Blockieren der Vererbung besteht darin, dass man sie durch die ganze Hierarchie abwärts durchsetzen möchte. Unter normalen Bedingungen würden nämlich die Einstellungen eines GPO durch jene eines anderen GPO überschrieben, wenn dieses auf einer tiefer liegenden Ebene verknüpft wurde.

    Will man jedoch sicherstellen, dass ein GPO auf dem ganzen Pfad nach unten durch den AD-Baum das letzte Wort behält, dann führt man aus dem Kontextmenü des betreffenden Gruppenricht­linien­objekts den Befehl Erzwungen aus. Dieser Eingriff in die Vererbungsregeln erfolgt mithin nicht auf der Ebene eines Containers, wie dies beim Deaktivieren der Fall ist, sondern einzeln für jedes GPO.

    Das Attribut "Erzwungen" setzt sich auch gegen eine deaktivierte Vererbung durch.

    Treffen das Blockieren und das Erzwingen der Vererbung für ein GPO auf einer bestimmten Ebene der AD-Hierarchie aufeinander, dann setzt sich der Zwang zur Vererbung durch. Man kann also durch Deaktivieren der Vererbung nicht erreichen, dass ein GPO mit dem Attribut Erzwungen auf seinem Weg nach unten aufgehalten wird.

    Verknüpfungen lösen und herstellen

    Schließlich kann man den Wirkungskreis eines GPO ändern, indem man seine Verknüpfung mit bestimmten Sites, Domänen oder OUs aufhebt bzw. es anderen zuordnet. Zu diesem Zweck wechselt man zu jenem Container, mit dem ein GPO verknüpft ist und von dem man es lösen möchte. Anschließend öffnet man dessen Kontextmenü und entfernt das Häkchen vom Menüpunkt Verknüpfung aktiviert.

    Löst man eine bestehende Verknüpfung, dann wird das GPO nicht mehr auf die Objekte des betreffenden Containers angewandt.

    Umgekehrt geht man so vor, dass man den neuen Bestimmungsort eines GPO (Domäne, OU) wählt und aus dessen Kontextmenü den Befehl Vorhandenes Gruppenricht­linienobjekt verknüpfen ausführt. Anschließend erhält man eine Liste aller existierenden GPOs, aus denen man eines oder mehrere auswählen kann.

    Vererbungsregeln nur im Notfall ändern

    Es liegt auf der Hand, dass man mit dem bedenkenlosen Einsatz von Verknüpfungen, WMI-Filtern, Sicherheitsfilterung, der Deaktivierung und der Erzwingung der Vererbung ein beachtliches Chaos anrichten kann. Dieses macht es dann äußert schwierig herauszufinden, warum bestimmte Einstellungen auf irgendwelche User oder Computer (nicht) angewandt werden.

    Aus diesem Grund sollte man eine GPO-Architektur entwerfen, die nur für einige Sonderfälle auf solche Mittel zurückgreifen muss.

    Keine Kommentare