Nano Server unterstützt keine Gruppenrichtlinien

Die offizielle Bestätigung, dass Nano Server über GPOs auch nicht konfiguriert werden kann, kommt aber dennoch überraschend. Der entsprechende Eintrag auf dem Group Policy Team Blog lobpreist ausführlich die Vorteile eines schlanken Systems, bevor er endlich die zentrale Botschaft anspricht.

Die Entscheidung gegen die Gruppenrichtlinien dürfte nicht gefallen sind, weil die Client Side Extension den Ressourcen­verbrauch des System dramatisch steigern oder weil sie häufige Updates benötigen. Vielmehr sind GPOs in vielen Umgebungen für längere Boot- und Logon-Zeiten verantwortlich, vor allem dann, wenn Einstellungen den synchronen Modus erzwingen.

Ein Vorzug von Nano Server sind extrem kurze Ladezeiten, die durch die Abarbeitung von GPOs sicherlich verlängert würden. Allerdings fallen dort die größten Bremser wie Folder Redirection und Laufwerks­zuordnungen über Group Policy Preferences ohnehin weg.

Das Gleiche gilt für die Software-Verteilung über Gruppenricht­linien, weil Nano Server die Installation von MSI-Paketen nicht unterstützt. Schließlich stehen unabhängig vom fehlenden GPO-Support auch keine zeitraubenden Login-Scripts zur Verfügung, weil eine normale Benutzer­anmeldung an Nano Server nicht erfolgt.

Manueller Ex- und Import von Einstellungen

Offenbar scheinen für Microsoft die Vorteile dieser Entscheidung die Nachteile zu überwiegen. Letztere lassen sich klar benennen, weil Nano Server vorerst keinen annähernd gleichwertigen Ersatz für Gruppenrichtlinien erhält und beim Management vieler Einstellungen auf ein Workgroup-Niveau zurückfällt.

Microsoft schlägt nämlich vor, dass Systemverwalter die Security-Einstellungen auf einem vollständigen Windows Server 2016 aus einer dortigen Datenbank mit secedit.exe in eine .inf-Datei exportieren oder ein solches Template mit Hilfe des zuständigen MMC-Snapins erstellen. Entsprechendes gilt für die Audit-Einstellungen, die man mit Hilfe von auditpol.exe in eine CSV-Datei schreiben kann.

Windows Server 2016 enthält seit der TP5 nun zwei neue PowerShell-Cmdlets, mit denen sich die exportierten Einstellungen beider Typen in einer Remote-Session wieder importieren lassen. Sie heißen Restore-SecurityPolicy bzw. Restore-AuditPolicy und sind in einem Modul mit dem vorläufigen Namen SecurityCmdlets enthalten.

Ungewisse Zukunft für Gruppenrichtlinien

Auch wenn Nano Server einer AD-Domäne beitreten kann, so reduziert sich natürlich der Nutzen eines Domain Join aufgrund der fehlenden Unterstützung für Gruppenrichtlinien. Dennoch wird man darauf schon wegen der zentralen Benutzerverwaltung und des vereinfachten Remote-Managements nicht verzichten.

Mit dieser Entscheidung von Microsoft enthält die Debatte um die Zukunft der Gruppenrichtlinien neue Nahrung. Schließlich erhalten sie auch auf dem Client zunehmende Konkurrenz durch die Schnittstellen für das Mobile Device Management.

Sie können heute zwar nur einen Bruchteil der GPO-Einstellungen abdecken, aber das wird sich nach und nach ändern. Über MDM soll sich Windows dann mittel- bis längerfristig auf allen Arten von Endgeräten umfassend administrieren lassen.